Erledigt! / rng-tools / rngatherd / Zufallszahlen (Debian 9)

[Falconcrest]

Hallo NG,

vorab zur Erklärung meiner Anfrage:

Im c`t Sonderheft Raspberry Pi 2016 steht ab Seite 120 ein Artikel, wo beschrieben ist, wie man einen Raspberry Pi als Zufallszahlengenerator für andere System nutzen kann.
Letztendlich soll der ganze Aufwand dazu dienen, einer externen Firewall (IPFire) zu etwas mehr Entropie zu verhelfen, denn die mahnt eine fehlende Quelle an.

Die Einrichtung auf der Server-Seite (Raspberry Pi - Raspbian) scheint bei zu funktionieren, die Zufallszahlen werden bereit gestellt, wenn ich die entsprechende Webseite aufrufe.
Nun wollte ich das Ganze einmal auf der Client-Seite (VirtualBox - Debian 9) testen, es treten aber unerwartete Probleme auf.

Ich kann die Services rngatherd sowie rng-tools nicht starten. Diverse Recherchen bei halfen bisher nicht weiter.
Hat jemand einen Tipp oder eine Idee für mich?

PS: Meine Linux-Kenntnisse sind eher bescheiden, aber mit einer guten Anleitung, hat vieles bisher immer funktioniert.

Hier noch ein paar Link`s zum Thema:

https://books.google.de/books?id=4w3lDA ... le&f=false

https://www.heise.de/ct/ausgabe/2016-10 ... 83944.html

https://weizenspr.eu/2015/hardware-zufa ... pi-nutzen/

https://github.com/pinae/RandPi

https://github.com/pinae/RnGatherD

https://www.heise.de/forum/c-t/Kommenta ... 5216/show/


MfG. Carsten

[DeletedUserReAsG]

Abseits der eigentlichen Frage:

Letztendlich soll der ganze Aufwand dazu dienen, einer externen Firewall (IPFire) zu etwas mehr Entropie zu verhelfen, denn die mahnt eine fehlende Quelle an.

Da macht haveged eigentlich ’nen guten Job.

[Falconcrest]

Hallo niemand,

Abseits der eigentlichen Frage:

Letztendlich soll der ganze Aufwand dazu dienen, einer externen Firewall (IPFire) zu etwas mehr Entropie zu verhelfen, denn die mahnt eine fehlende Quelle an.

Da macht haveged eigentlich ’nen guten Job.

Das habe ich im dortigen Forum ebenfalls verfolgt, wurde aber meiner Erinnerung nach, als sicherheitstechnisch bedenklich erachtet.

Mfg. Carsten

[DeletedUserReAsG]

Gibt es dafür eine Quelle? Das wäre mir nämlich neu, ich habe bislang eher Gegenteiliges gelesen.

[Falconcrest]

Hallo niemand,

Gibt es dafür eine Quelle? Das wäre mir nämlich neu, ich habe bislang eher Gegenteiliges gelesen.

Schau er sich mal diese Beiträge an, speziell die vom Hersteller von IPFire.

http://forum.ipfire.org/viewtopic.php?t=9109

MfG. Carsten

[DeletedUserReAsG]

Hab’s falsch formuliert: gibt es denn eine unabhängige Quelle?

Soweit ich das erfasst habe stellt haveged eben keine Pseudoentropie zur Verfügung, wie sie der Entwickler von IPFire bemängelt, sondern holt „echte“ Entropie aus verschiedenen Hardwareteilen – daher auch der Name „HArdware Volatile Entropy Gathering and Expansion“. Auf der anderen Seite scheint mir ein Zufallszahlengenerator auf einem externen Device, das per se kein Hardware-RNG ist, potentiell eher Pseudoentropie zu liefern.

Edit: hätte vielleicht weiterlesen sollen: „HAVEGE combines on-the-fly hardware volatile entropy gathering with pseudo-random number generation.“. Allerdings scheint mir das Folgende auch wieder schlüssig: „The internal state of HAVEGE includes thousands of internal volatile hardware states and is merely unmonitorable. Therefore HAVEGE features a very high security level.“ (Quelle) – jedenfalls sehe ich da keinen Nachteil gegenüber der Lösung, extern Entropie aus einem nicht-RNG-Device wie dem Pi, der zumindest meiner Erfahrung nach eh an einem Mangel an eigener Entropie leidet, zu holen.


Wie auch immer:

Ich kann die Services rngatherd sowie rng-tools nicht starten.

Das Problem: „Kann … nicht starten“ erlaubt keine Analyse des Problems. Dafür wäre mindestens die Ein- und Ausgabe notwendig, also: was wurde eingegeben, und welcher Fehler wurde ausgegeben?

[Falconcrest]

Hallo niemand,

Hab’s falsch formuliert: gibt es denn eine unabhängige Quelle?

Soweit ich das erfasst habe stellt haveged eben keine Pseudoentropie zur Verfügung, wie sie der Entwickler von IPFire bemängelt, sondern holt „echte“ Entropie aus verschiedenen Hardwareteilen – daher auch der Name „HArdware Volatile Entropy Gathering and Expansion“. Auf der anderen Seite scheint mir ein Zufallszahlengenerator auf einem externen Device, das per se kein Hardware-RNG ist, potentiell eher Pseudoentropie zu liefern.

Um Grundsatzdiskussionen darüber zu führen, fehlt mir die Erfahrung im Umgang mit Linux, siehe meinen ersten Beitrag. Deshalb kann ich auch nicht beurteilen, was nun richtig oder falsch ist.
Das war aber auch nicht der Grund meiner Anfrage hier, ich habe um eventuelle Hilfestellung gebeten. Trotzdem vielen Dank, für die Darlegung Deiner Sichtweise.

Wie auch immer:

Ich kann die Services rngatherd sowie rng-tools nicht starten.

Das Problem: „Kann … nicht starten“ erlaubt keine Analyse des Problems. Dafür wäre mindestens die Ein- und Ausgabe notwendig, also: was wurde eingegeben, und welcher Fehler wurde ausgegeben?

Da muss ich Dir Recht geben, man siehe es mir nach.
Wenn ich wieder Zugriff auf das System habe, liefere ich die angeforderten Informationen.
Danke im voraus.

MfG. Carsten

[Nea55]

Hallo niemand,

Gibt es dafür eine Quelle? Das wäre mir nämlich neu, ich habe bislang eher Gegenteiliges gelesen.

Schau er sich mal diese Beiträge an, speziell die vom Hersteller von IPFire.

http://forum.ipfire.org/viewtopic.php?t=9109klick

MfG. Carsten

Danke!

[Falconcrest]

Hallo niemand,

Ich kann die Services rngatherd sowie rng-tools nicht starten.

Das Problem: „Kann … nicht starten“ erlaubt keine Analyse des Problems. Dafür wäre mindestens die Ein- und Ausgabe notwendig, also: was wurde eingegeben, und welcher Fehler wurde ausgegeben?

Hier kommen ein paar Info`s zum Problem:

Meine Vorgehensweise verlief ähnlich, wie in nachfolgender Anleitung beschrieben.

https://www.heise.de/forum/c-t/Kommenta ... 5216/show/

----------------------------------------------------------------------------------------------------------------------------------------------------

Debian 9 Client für RandPi konfigurieren

# Begonnen habe ich die Linux-Client-Installation auf einem frisch aufgesetzten Debian 9

RandPi-Client Installation
Quelle: c´t 10/2016 S. 108

apt-get install python3-dev python3-pip rng-tools - ok

pip3 install rngatherd pycrypto - ok

/usr/local/bin/rngatherdaemon.py config
url of the RandPi server: "http://Raspi-IP:8088/entropy/random" - ok

nano /etc/rngatherd.conf
# secret und salt mit RandPi(Raspberry Pi) abstimmen - ok

systemctl daemon-reload - ok
service rngatherd start # stellt /dev/hwrandom bereit - nicht ok

Failed to start rngatherd.service: Unit rngatherd.service not found

update-rc.d rngatherd defaults # rngatherd beim booten starten - ok, aber es bringt ja momentan nix, solange der Start von rngatherd nicht gelingt

nano /etc/default/rng-tools # rngd (rng-tools) soll /dev/hwrandom als Quelle nutzen
HRNGDEVICE=/dev/hwrandom - ok

nano /etc/init.d/rng-tools
# alle Vorkommen von "-c" nach "-e" ändern - ok

systemctl daemon-reload - ok
service rng-tools restart - nicht ok

Failed to restart rng-tools.service: Unit rng-tools.service not found

# Prüfen der Zufallszahlen
cat /dev/random # es müssen permanent Zufallszahlen geliefert werden - kann ja nicht funktionieren, siehe oben

### Dateien:
/usr/local/bin/rngatherdaemon.py # pip3 install rngatherd (RandPi kompatibler Linux Client) - vorhanden
/etc/init.d/rngatherd # pip3 install rngatherd (Init Script für rngatherdaemon.py) - vorhanden
/etc/rngatherd.conf # /usr/local/bin/rngatherdaemon.py config (Kofigurationsdatei für rngatherdaemon.py) - vorhanden
/dev/hwrandom # Pseudo-Device, erstellt von rngatherd, liefert über RandPi die HW-Zufallszahlen - nicht vorhanden
/etc/default/rng-tools # Konfigurationsdatei für rng Dienst (rng-tools), (muss verweis auf /dev/hwrandom enthalten) - vorhanden
/etc/init.d/rng-tools # Init Script für rng-tools - nicht vorhanden
/dev/random # Kernel-Quelle für sichere Zufallszahlen - vorhanden


MfG. Carsten

[enivant]

Hallo, der Beitrag ist zwar schon länger her, aber ich habe auch mal versucht nach der c't-Anleitung vorzugehen und bleibe wie Carsten an dieser Stelle ebenso stecken:

"....service rngatherd start # stellt /dev/hwrandom bereit - nicht ok
Failed to start rngatherd.service: Unit rngatherd.service not found
update-rc.d rngatherd defaults # rngatherd beim booten starten - ok, aber es bringt ja momentan nix, solange der Start von rngatherd nicht gelingt...."

Hat sich jemand damit nochmal beschäftigt, denn das Thema ist an sich schon sehr interessant?

Beste Grüße