Pendant de nombreuses décennies, le terme «nombres aléatoires» signifiait des «nombres pseudo-aléatoires» à quiconque pensait beaucoup au problème et comprenait que les ordinateurs n’étaient tout simplement pas équipés pour produire tout ce qui était vraiment aléatoire.
Les fabricants ont fait ce qu’ils pouvaient, saisissant certains signaux du mouvement de la souris, de l’activité du clavier, des interruptions du système et des collisions de paquets uniquement pour obtenir un échantillon modeste de données aléatoires pour améliorer la sécurité de leurs processus cryptographiques.
Et les méchants ont travaillé à briser le cryptage.
Nous avons utilisé des clés plus longues et de meilleurs algorithmes.
Et les méchants l’ont gardé. Et la vie a continué.
Mais quelque chose a récemment changé tout cela. Non, pas hier ou la semaine dernière. Mais ce n’est qu’en novembre de l’année dernière que quelque chose s’appelant Entropy Engine a remporté un prix Oscar of Innovation pour les collaborateurs Los Alamos National Laboratory et Whitewood Security. Ce moteur Entropy est capable de fournir jusqu’à 350 Mbps de nombres aléatoires authentiques – suffisant pour alimenter un centre de données complet avec suffisamment de données aléatoires pour améliorer considérablement tous les processus cryptographiques.
En entrant dans la physique quantique de la matière et de la lumière pour fournir une source d’entopie, le moteur Entropy produit des nombres qui:
On ne peut pas prédire … jamais
Sont basés sur le comportement aléatoire des photons
Peut être produit par quelque chose aussi petit qu’un morceau de Starburst assis sur une carte de circuit qui ressemble, bien, comme une carte de circuit assez standard
Il y avait un problème avec les nombres pseudo-aléatoires?
Oui, il y avait et il y a encore un problème. Les nombres pseudo-aléatoires sont à peine suffisants. En ce qui concerne la cryptographie, l’entropie est la clé. Tout système cryptographique est seulement aussi fort que la source d’aléatoire qu’il emploie. En outre, la quantité d’entropie que les systèmes peuvent rassembler et utiliser pour répondre aux demandes est insuffisante. Il n’y a pas assez de données aléatoires disponibles.
Pour aggraver les choses, les outils de piraterie s’améliorent. La prévisibilité est l’inverse du hasard et de la défaillance de la cryptographie. Le problème de la famine d’entropie est particulièrement préoccupant dans les machines virtuelles, les nuages et les conteneurs où il n’y a pas d’activité directe des utilisateurs et, par conséquent, les sources habituelles d’entropie ne sont pas présentes. Pour les machines virtuelles fonctionnant sur site ou dans Amazon Web Services (AWS), il est impossible de savoir combien l’entropie est vraiment disponible pour chaque instance et quelle est la base de cette entropie.
L’Internet of Things (IoT) n’est pas meilleur. Les appareils IoT de petite et basse puissance ont peu de capacité à générer de l’entropie par eux-mêmes.
Plusieurs générateurs de nombres aléatoires sont disponibles. Certains sont petits et lents. Certains pourraient susciter des soupçons sur les ports USB. Ces appareils utilisent un certain nombre de techniques pour générer de l’entropie, telles que le bruit atmosphérique, les semi-conducteurs de polarisation inverse et le fractionnement du faisceau.
Peu sont compatibles à la fois avec NIST SP800-22 (Une suite de tests statistiques pour les générateurs de nombres aléatoires et pseudo-aléatoires pour les applications cryptographiques) et NIST SP800-90B (Recommandation pour les sources d’entropie utilisées pour la génération de bits aléatoires).
Comment fonctionne le moteur Entropy
L’aléaude basée sur l’activité des photons est un étirement pour la plupart d’entre nous à imaginer, mais il semble être bien documenté dans les documents de recherche scientifique.
Je ne parle pas de l’activité des photons simples, mais des groupes de photons et d’un processus appelé « photon bunching » dans lequel les photons concourent pour occuper le même état ou mode et, ce faisant, créent des changements de puissance qui peuvent être fondamentalement imprévisibles Être mesuré et numérisé. L’effet global est la génération d’un azar réel, et il se produit à une vitesse significative.
Livré en tant qu’appareil réseau, le moteur Entropy peut générer suffisamment d’entropie pour répondre aux besoins d’un centre de données complet. Et, compte tenu des appareils de réseau que j’ai participé à l’acquisition de centres de données pendant ma carrière, à un coût raisonnable.
Pour les serveurs Linux, le service fourni remplit les fichiers entropy_avail (/ proc / sys / kernel / random / entropy_avail) jusqu’à leur maximum de 4096 bits et assez souvent pour les garder plein de données vraiment aléatoires (c’est-à-dire imprévisibles).
Ce qui est necessaire?
La réponse à cette question est assez claire: assez d’entropie pour alimenter tous nos systèmes.
Que pouvons-nous attendre?
L’aléatoire est partout autour de nous, mais pas sous une forme que nous pouvons prendre facilement et livrer à nos ordinateurs. Le travail remarquable du laboratoire national de Los Alamos en collaboration avec Whitewood Security est une technologie innovante et améliorera considérablement la sécurité des processus cryptographiques.
Comment puis-je savoir tout cela?
J’ai eu la chance d’interviewer Richard Molds, directeur général de Whitewood Security, puis j’ai lu un certain nombre d’articles en ligne décrivant la génération d’entropie. Je ne suis pas expert dans ce domaine, juste un sysadmin qui est très enthousiaste à l’idée de ce que les données véritablement aléatoires feront pour améliorer la sécurité des organisations et des systèmes dont je me soucie.
Pensées terminales intéressantes
Pensez à cela pendant une minute. Personne n’est propriétaire de l’entropie. C’est gratuit, mais la récolte reste un défi important.
Plus important encore, le hasard est difficile à prouver et ne peut pas être corrigé rétrospectivement. Il n’y a pas d’alarmes qui disparaissent lorsque les données aléatoires (et, par conséquent, les touches) deviennent prévisibles. L’aléatoire et l’entropie doivent être réparés de manière proactive. La réponse correcte est axée sur la conception architecturale et non sur une entropie Band-Aid.
La Source: http://bit.ly/2h7Gy6n
