Luca Annunziata

FreeBSD non si fida dei numeri Intel e VIA

La release 10 dell'OS non supporterà più le funzioni per la generazione di numeri casuali delle CPU. Mentre NSA viene sentita di nuovo dal Senato USA, e le associazioni insorgono legalmente contro operatori e governi stessi

Roma - Gli sviluppatori di FreeBSD, una delle più apprezzate incarnazioni dei sistemi operativi *nix, hanno deciso: stop al supporto degli algoritmi per la generazione di numeri casuali contenuti nelle CPU prodotte da VIA e Intel. Dopo le rivelazioni di Edward Snowden, non è più possibile escludere che NSA o altri servizi possiedano una backdoor in grado di svelare la chiave per forzare le tecnologie di cifratura adottate per garantire la riservatezza dei dati: la prossima release 10.0 non offrirà dunque alcun supporto diretto a queste funzioni, che chi desidera potrà ripristinare al prezzo della programmazione da assembly in su o adottando software che includano il codice necessario.

I motori di generazione di numeri casuali (RNG) sono elementi indispensabili per il funzionamento di una cifratura: la variabilità che introducono dovrebbe garantire rispetto alla non ripetitività e dunque alla inviolabilità del dato crittografato. Se tuttavia la casualità fosse solo apparente, ovvero magari solo una ripetizione molto lunga nel tempo per rendere difficile il suo rilevamento, chiunque conoscesse il periodo o l'algoritmo con cui viene decisa la sequenza potrebbe accorciare di molti i tempi per decifrare le informazioni altrimenti protette. La scelta di FreeBSD è motivata dalla situazione contingente, ma introdurre, come intendono fare gli sviluppatori, sorgenti multiple per i numeri casuali dovrebbe comunque garantire anche maggiore sicurezza alle cifrature adottate su questi sistemi.

Una decisione saggia, quindi, tanto più che NSA non sembra minimamente intenzionata a mollare la presa: il suo capo, il generale Keith Alexander, si è presentato ad un'audizione al Senato USA per ribadire che la sua agenzia non può fare a meno dei "metadati", ovvero di tutte le informazioni carpite sulle comunicazioni dei cittadini statunitensi e non, per poter ottenere le indicazioni necessarie a garantire la sicurezza nazionale. Per nulla intimorito dal clamore delle rivelazioni di Snowden, Alexander ha anzi ribadito che la pesca strascico ha intercettato informazioni sui suoi connazionali per errore, ma che per chi non abbia un passaporto USA non c'è stato ne ci sarà alcuno scrupolo nel raccogliere e catalogare le informazioni relative alle chiamate effettuate e ricevute. E l'argomentazione, manco a dirlo, è che questo tipo di tecniche di intelligence massiva servono a prevenire il ripetersi di una tragedia come quella dell'11 settembre 2001.
Ora però che l'intera faccenda è venuta alla luce con maggiore chiarezza che in passato, non mancano le associazioni che si oppongono a questa pratica. Secondo Public Knowledge, la stessa disponibilità degli operatori a fornire le informazioni ai servizi di intelligence è già una violazione delle leggi vigenti: per questo ha avviato una petizione per convincere FCC a intervenire e applicare l'articolo 222 del Communication Act, che dovrebbe già impedire la comunicazioni di informazioni relative a un'utenza senza l'autorizzazione dell'intestatario, tanto più che pare i provider abbiano anche ricevuto un tornaconto economico nel farlo. Amnesty International ha invece citato direttamente lo stato della Gran Bretagna per aver violato lo Human Right Act nazionale, visto il suo coinvolgimento nelle operazioni di intercettazione e schedatura di massa del Datagate.

Luca Annunziata
29 Commenti alla Notizia FreeBSD non si fida dei numeri Intel e VIA
Ordina
  • ... cosa aspettano i governi Europei ad operare una intercettazione di massa di tutti i cittadini americani dal più insignificante al presidente americano? In fondo loro ritengono che chi non è cittadino americano (anche se solo di facciata visto che sotto sotto adottano gli stessi criteri anche per loro) non ha alcun diritto e allora perché non rendergli la pariglia per dimostrargli cosa si prova?
    Sono anni che le istituzioni europee avvertono le aziende di criptare i loro dati e le loro comunicazioni ( a quanto pare a ragione da una parte, ma inutilmente dall' altra) perché si riscontravano sottrazioni di informazioni e penalizzazioni negli appalti.
    non+autenticato
  • - Scritto da: M.R.
    > ... cosa aspettano i governi Europei ad operare
    > una intercettazione di massa di tutti i cittadini
    > americani dal più insignificante al presidente

    ehm, forse è perchè non hanno 13 portaereiA bocca aperta

    > perché non rendergli la pariglia per dimostrargli
    > cosa si
    > prova?

    perchè poi subiremmo una massiccia esportazione di democrazia

    > Sono anni che le istituzioni europee avvertono le
    > aziende di criptare i loro dati e le loro
    > comunicazioni ( a quanto pare a ragione da una
    > parte, ma inutilmente dall' altra) perché si
    > riscontravano sottrazioni di informazioni e
    > penalizzazioni negli
    > appalti.

    l'Europa è come il Papa, tante chiacchiere ma pochi fatti e soprattutto pochi mezzi per poter fare qualcosa di tangibile
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: M.R.
    > > ... cosa aspettano i governi Europei ad
    > operare
    > > una intercettazione di massa di tutti i
    > cittadini
    > > americani dal più insignificante al
    > presidente
    >
    > ehm, forse è perchè non hanno 13 portaereiA bocca aperta
    >
    > > perché non rendergli la pariglia per
    > dimostrargli
    > > cosa si
    > > prova?
    >
    > perchè poi subiremmo una massiccia esportazione
    > di democrazia
    >
    >
    > > Sono anni che le istituzioni europee
    > avvertono
    > le
    > > aziende di criptare i loro dati e le loro
    > > comunicazioni ( a quanto pare a ragione da
    > una
    > > parte, ma inutilmente dall' altra) perché si
    > > riscontravano sottrazioni di informazioni e
    > > penalizzazioni negli
    > > appalti.
    >
    > l'Europa è come il Papa, tante chiacchiere ma
    > pochi fatti e soprattutto pochi mezzi per poter
    > fare qualcosa di
    > tangibile
    Oddio gli USA con 13 portaerei non hanno un "success rate" così invidiabile .
    Delle decine e decine di guerre in cui sono stati a vario titolo coinvolti dopo la seconda guerra mondiale e spesso con contendenti che avevano si e no gli occhi per piangere (vedi viet-nam) molte (la maggior parte o la quasi totalità) si sono concluse con situazioni di sconfitta o stallo.
    Non gli darei un "Military Efficiency Award" proprio considerando le 13 portaerei e la indiscutibile sovrabbondanza di mezzi e tecnologie a disposizione.
    Che siano "i più forti" sulla carta è un fatto ma un pochino di "myth debunking" non fa mai male.
    Anche perchè essere presi a calci in culo da 4 contadini che avevano si e no un pugno di riso da mangiare in tutta la giornata non è proprio fare la figura dell'impavido guerriero.
    A bocca aperta
    non+autenticato
  • fai caso, però, che hanno perso sempre laddove sono state usate tecniche di guerriglia

    contro l'Europa, le 13 portaerei funzionerebbe molto molto meglio di quanto funzionarono in Afghanistan o Vietnam

    in sostanza, noi non abbiamo kamikaze, ma nemmeno gente con le OO capace di combattereTriste
    non+autenticato
  • - Scritto da: collione
    > fai caso, però, che hanno perso sempre laddove
    > sono state usate tecniche di
    > guerriglia
    >
    > contro l'Europa, le 13 portaerei funzionerebbe
    > molto molto meglio di quanto funzionarono in
    > Afghanistan o
    > Vietnam
    >
    > in sostanza, noi non abbiamo kamikaze, ma nemmeno
    > gente con le OO capace di combattere
    >Triste

    Però sappiamo produrre l'antrace. E per i kamikaze...basta cercarne qualcuno tra i derelitti che sbarcano sulle nostre coste.
    non+autenticato
  • - Scritto da: collione
    > fai caso, però, che hanno perso sempre laddove
    > sono state usate tecniche di
    > guerriglia

    Con il, non trascurabile dettaglio, dell'appoggio dell' unione sovietica

    > contro l'Europa, le 13 portaerei funzionerebbe
    > molto molto meglio di quanto funzionarono in
    > Afghanistan o
    > Vietnam
    >
    > in sostanza, noi non abbiamo kamikaze, ma nemmeno
    > gente con le OO capace di combattere
    >Triste
    Vai avanti tuA bocca aperta
    non+autenticato
  • E non dimenticate i macachi e i trolletti.
    non+autenticato
  • qualche dubbio che il MUOS invece di spiare le potenze mediorientali serva invece a spiare i paesi europei ti sta venendo pure a te vero ???
    Sorride
    non+autenticato
  • Sebbene i TRNG di Via siano doppi su ogni board in parte analogoci basati su misurazioni ambientali per la generazione dell'entropia il più possibile distanti e disorientati fra loro, per cercare di rimanere fuori dal campo deterministico, al contrario di quello Intel che non riceve influenze esterne nella generazione di entropia.

    Qualcuno potrà asserire che sia un comportamento paranoico, ma pare che non si tratti di essere paranoici, ma di quanto essere paranoici.

    Only the Paranoid Survive
    non+autenticato
  • - Scritto da: just to fill the blank
    > Sebbene i TRNG di Via siano doppi su ogni board
    > in parte analogoci basati su misurazioni
    > ambientali per la generazione dell'entropia il
    > più possibile distanti e disorientati fra loro,
    > per cercare di rimanere fuori dal campo
    > deterministico, al contrario di quello Intel che
    > non riceve influenze esterne nella generazione di
    > entropia.
    >
    > Qualcuno potrà asserire che sia un comportamento
    > paranoico, ma pare che non si tratti di essere
    > paranoici, ma di quanto essere
    > paranoici.
    >
    > Only the Paranoid Survive
    Si e no.
    Anzi ti dirò che parte della condivisibile analisi sulla differenza tra VIA e Intel dovrebbe confortare.
    Inoltre l'accesso ai "raw data" dei generatori consente di fare test sulla distribuzione (ad esempio usando il metodo montecarlo o del "chi quadro").
    Tra le altre cose se applichi il "chi quadro" al "rand" di Linux ottieni un valore tra ( <= 3% o > =97% ) che non è il massimo... per essere veramente "random" dovresti stare a <=1% e > =99%.
    Più che la "paranoia" conviene usare la matematica.
    Occhiolino
    Fa comunque sempre piacere trovare qualcuno che cerca di documentarsi invece che sparare boiate a caso....

    C'è comunque un bel paper per VIA di una terza parte "Cryptography Research" il link è qui:
    http://www.cryptography.com/public/pdf/VIA_rngsum....
    non+autenticato
  • E ricorda che io mando e-mail fin dal 1980. Nessuno ne sa più di me.
    non+autenticato
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > - Scritto da: tucumcari
    >
    > > Tra le altre cose se applichi il "chi
    > quadro"
    > al
    > > "rand" di Linux ottieni un valore tra (
    > <=
    > 3%
    > > o > =97% ) che non è il massimo... per
    > essere
    > > veramente "random" dovresti stare a <=1%
    > e
    > > >
    > > =99%.
    > > Più che la "paranoia" conviene usare la
    > > matematica.
    > > Occhiolino
    >
    > Evidentamente sono algoritmi buoni, ma non
    > necessariamente
    > onesti.
    > Se ci fosse un seme inizializzato per esempio ad
    > un valore ricavabile dal numero di serie del
    > processore?
    >
    > Ogni processore garantirebbe ottime sequenze, ma
    > il produttore, conoscendo il metodo di
    > generazione del seme, potrebbe ricostruire tutta
    > la sequenza per un particolare
    > 'cliente'.
    >
    > ovviamente, visto che il set di istruzioni RAND
    > prevede il seed anche da parte del programmatore,
    > sto parlando di un
    > metaseed.
    Con un metaseed non ci fai niente. Non è sufficiente a indovinare il seed.
    non+autenticato
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > - Scritto da: tucumcari
    >
    > > Con un metaseed non ci fai niente. Non è
    > > sufficiente a indovinare il
    > > seed.
    >
    > cioè secondo te l'istruzione che genera i seed
    > non ha a sua volta un
    > seed?
    Mi spieghi come fai ad arrivare al seed analizzando il metaseed?
    non+autenticato
  • contenuto non disponibile
  • Andrebbe anche analizzato il fatto che schede come la EPIA P820 montavano doppi generatori TRNG e hardware AES in tempi meno sospetti.

    Non biasimo affatto gli sviluppatori BSD che all'alba delladozione delle varianti ECC dei più noti algoritmi assimetrici, sviluppino un TRNG embedded inaccessibile nella fasae di generazione dell'entropia, embedded nella CPU, mentre sviluppatori kernel di linux si lamentano delle pressioni per affidare /dev/random proprio all'hardware in questione.

    http://www.cryptography.com/public/pdf/Intel_TRNG_...

    tre inindizi..
    non+autenticato
  • ehm..

    Non biasimo affatto gli sviluppatori BSD che all'alba dell'adozione delle varianti ECC dei più noti algoritmi assimetrici, mentre Intel sviluppa un TRNG inaccessibile nella fasae di generazione dell'entropia, embedded nella CPU, mentre sviluppatori kernel di linux si lamentano delle pressioni per affidare /dev/random proprio all'hardware in questione, decidano di non farvi affidamento.
    non+autenticato
  • come direbbe il merovingio...
    non+autenticato
  • La soluzione ideale è quella che ha adottato linux: usare più sorgenti di entropia in contemporanea, in modo che se anche una è "meno casuale del previsto" il risultato è comunque abbastanza causuale da non essere un problema per la sicurezza.
    non+autenticato
  • Se infili i dati dei sensori come temperatura CPU, velocità ventole, hai alcuni dati ambientali casuali utilizzabili...
    Se ci fosse un microfono connesso al PC e si utilizzasse, ci potrebbe essere un pochino di rumore e dati audio casuali da utilizzare... Lo stesso se si facesse uno shot con la webcam.
    Ma anche la posizione della testina dell'HD nel momento di generazione, oppure il primo dato frammentato del journaling trovato. Una cosa che da li a poco sparirà e non si ripeterà.

    Strano che quelli di FreeBSD siano stati così ingenui da affidarsi ai moduli TPM, crittografici, o generatori di un'azienda sotto la giurisdizione del loro governo canaglia...
    iRoby
    7615
  • - Scritto da: iRoby
    > Strano che quelli di FreeBSD siano stati così
    > ingenui da affidarsi ai moduli TPM,
    > crittografici, o generatori di un'azienda sotto
    > la giurisdizione del loro governo
    > canaglia...
    è una distro attenta alle prestazioni, usare un'unica istruzione della cpu invece di un sacco di ammenicoli ha sicuramente dei vantaggi
    non+autenticato
  • - Scritto da: Dr Doom
    > - Scritto da: iRoby
    > > Strano che quelli di FreeBSD siano stati così
    > > ingenui da affidarsi ai moduli TPM,
    > > crittografici, o generatori di un'azienda
    > sotto
    > > la giurisdizione del loro governo
    > > canaglia...
    > è una distro attenta alle prestazioni, usare
    > un'unica istruzione della cpu invece di un sacco
    > di ammenicoli ha sicuramente dei
    > vantaggi

    freebsd non è una distro linux ma un sistema operativo a parte

    e comunque i vantaggi maggiori sono per la NSAA bocca aperta

    la verità è che la casualità generata algoritmicamente non esiste, bisogna affidarsi a fonti di rumore fisiche
    non+autenticato
  • usare
    > un'unica istruzione della cpu invece di un sacco
    > di ammenicoli ha sicuramente dei
    > vantaggi

    Dubbi e paranoia a parte (benché sempre giustificati), alla fine di tutto sarebbe bello sapere se RDRAND è davvero compromessa. Oppure se è sicura.
    Intel non ha detto niente. E al momento nessuno ha scoperto se si tratti di uno stream prevedibile. Quindi è un gran dubbio.
    Visto che spesso RDRAND e altri generatori hardware vengono usati in mix con altri algoritmi e il bit stream non è usato direttamente, dubito che Intel si sia presa il rischio di fare un generatore con backdoor. Inoltre in Intel ci sono le competenze per farne uno decente, quindi sarebbe difficile usare al scusa del "è stato un errore"...
    Usare RDRAND direttamente non è una buona idea, ma alla fine dipende da che utilizzo se ne fa. Anche su FreeBSD se usi OpenSSL o altro, poi dipende dalla libreria quale RNG scegliere. Alcuni programmi usano la srand+rand del C, la funzione standard POSIX..., altri RDRAND o arc4random. Vanno tutte bene, ma dipende da che deve fare il programma. Se c'è da generare una chiave, mi aspetto che una libreria implementi al suo interno Yarrow o Fortuna, e che in genere non si basi solo su /dev/random o /dev/zeroOcchiolino
    non+autenticato
  • E comunque l'articolo dice che non userà più quella fonte, non che ora usa *solo* quella.

    Già ora ne usa diverse.
    non+autenticato
  • - Scritto da: Io sono io
    > E comunque l'articolo dice che non userà più
    > quella fonte, non che ora usa *solo*
    > quella.
    >
    > Già ora ne usa diverse.

    nella notizia originale dice invece che non userà più esclusivamente quelle fonti (RDRAND e Padlock) ma le utilizzerà comunque come fonte di entropia, in modo simile a linux.

    Notizia originale:
    http://www.freebsd.org/news/status/report-2013-09-...
    non+autenticato
  • - Scritto da: stacchino

    > nella notizia originale dice invece che non userà
    > più esclusivamente quelle fonti

    funzionava così, ma solo sulle cpu che supportano RDRAND

    per tutti gli altri ( la stragrande maggioranza ) si arrangia con i soliti metodi
    non+autenticato
  • "Se tuttavia la casualità fosse solo apparente, ovvero magari solo una ripetizione molto lunga nel tempo" di un generatore di numeri pseudo casualiOcchiolino
    non+autenticato