Neuer Zufalls-Syscall für Linux dank LibreSSL

18.07.2014

Eine theoretische Sicherheitslücke der der Implementierung von LibreSSL hat dazu geführt, dass Linux künftig über einen neuen Systemaufruf verfügt, der Zufälligkeit liefert.

Bei der Portierung von LibreSSL auf Linux mussten die OpenBSD-Entwickler diverse Funktionen, die der OpenBSD-Kernel zur Verfügung stellt, neu implementieren. Kurze Zeit später entdeckte Andrew Ayer aber, dass die Art und Weise, wie sie dabei vom Pseudozufallszahlengenerator in Linux Gebrauch machten, nicht völlig sicher war: Weil die Prozess-ID in die Erzeugung der Zufallszahlen eingeht, ist es unter gewissen Umständen möglich, dass ein durch Fork erzeugter Kindprozess dieselben Zufallszahlen erhält wie der Elternprozess. Nach Meinung des OpenBSD-Entwicklers Theo de Raadt handelt es sich dabei zwar nur um ein theoretisches Problem, dennoch veröffentlichte LibreSSL mit Version 2.0.2 ein neues Release, das diese Lücke nicht aufwies.

Weitgehende Einigkeit herrschte allerdings darüber, dass der Grund für das Problem im Design der Linux-Schnittstelle zur Erzeugung von Zufallszahlen liegt. Dem hat Theodore Ts'o, der als Entwickler der Linux-Dateisysteme Ext2/3/4 bekannt ist, jetzt mit einem Kernel-Patch Rechnung getragen, der einen neuen Systemaufruf implementiert. Künftig können Anwendungsprogrammierer Zufallsdaten mit dem Systemaufruf "getrandom()" anfordern, der so funktioniert wie der Syscall "getentropy()" in OpenBSD.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

LibreSSL 2.0 veröffentlicht

Das OpenBSD-Projekt hat das erste plattformübergreifende Release des OpenSSL-Aufräumprojekts vorgelegt.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020