Kernel Entropie-Mangel

[RobertDebiannutzer]

In letzter Zeit habe ich häufig von Problemen mit Entropie gelesen. Nun habe ich zufällig folgenden Artikel entdeckt:
https://www.theregister.co.uk/2018/08/2 ... 419_trust/
Haben diese Probleme vielleicht mit etwas in der Art zu tun? Wurde zwar erst mit 4.19 eingeführt, aber vielleicht haben die Debian-Maintainer da im Zuge des Prozessor-Sicherheitslücken-Schutzes schon etwas in der Richtung angestoßen? Dass man jetzt quasi nicht mehr der CPU traut und deswegen getrandom() solange blockiert, bis "genügend Zufall" da ist?

[BenutzerGa4gooPh]

Gibt schon so viele Threads dazu, bestimmt jede Woche einer. Meist wegen neuerdings verlängerter Bootzeit.
Entropie , haveged (Manpage) usw.

In einen recht aktuellen Thread hat @eggy mit eigenen Worten verständlich erklärt. Vorteile + Nachteile ebenso
viewtopic.php?f=12&t=170637#p1182743

Obige Frage eher an Kernel-Entwickler als an Maintainer oder Foren? So wegen tiefgehender, konkreter fachlicher Erläuterung, Begründung. Oder eben Recherche nach wissenschaftlichen Dokumenten.

[eggy]

Wenn es "nur" am Kernel liegt, sollte sich das durch "einmal mit aktuellem Kernel booten, Zeit aufschreiben (bzw den systemd-analyse blame output wegspeichern); einmal mit altem Kernel booten, Zeit aufschreiben; Zeiten vergleichen" verifizieren lassen. Müsste halt mal jemand der Betroffenen machen.

Mich interessiert es jetzt nicht so sehr, dass ich dafür booten mag, keine Ahnung ob ich das Problem überhaupt hab. In fast allen entsprechenden Threads ist auf systemd-analyse blame hingewiesen worden, Logs gepostet haben die Betroffenen, soweit ich das im Hinterkopf hab, aber nicht. Mit entsprechenden Logs könnte man mal versuchen rauszufinden, ob es "nur" am Kernel liegt, oder ob irgendnen Dienst jetzt neuerdings (mehr) Zufall zum Starten braucht, oder ob die Startreihenfolge der Dienste verändert wurde, oder oder oder ... aber wie üblich: aktive Mitwirkung der Betroffenen nötig.

[RobertDebiannutzer]

Wenn schon systemd, dann nutze ich immer "systemd-analyze plot > plot.svg"...
Da kommt bei mir raus:

Code: Alles auswählen

Startup finished in 3.975s (firmware) + 4.749s (loader) + 2.549s (kernel) + 1.987s (userspace) = 13.261s

Kernel 4.9.110-3+deb9u4 (2018-08-21)
Und wer ist der Bösewicht?

Code: Alles auswählen

exim4.service (1.116s)

Keine Ahnung, ob das normal ist und ob es normal ist, dass der Kernel in 2,5s startet. Ich habe eigentlich kein Problem mit meiner Boot-Zeit. Mich interessiert das Thema nur wegen der Sicherheits-Aspekte, die im verlinkten Artikel angesprochen wurden. Ich fürchte, zum erweiterten Testen habe ich gerade keine Zeit. Schade ist natürlich, dass die Betroffenen nicht genauere Angaben machen, denn es ist eigentlich ziemlich einfach...

[reox]

Ich vermute das es derzeit einfach nur Indizien gibt, dass die PRNGs der CPUs zu berechenbar sind - mir wäre bisher kein Beweis dafür untergekommen.
Gab es nicht mal einen Talk auf dem Chaos Congress über Hardware Trojaner um PRNGs zu schwächen? Waren das Leute von infenion oder so? Oder verwechsel ich gerade was?
Aber irgendwo klingelt was im zusammenhang von PRNG und der NSA... dieses hier was es vllt https://www.wired.com/2013/09/nsa-backdoor/

Interessant ist, das zu dem Thema Bootzeiten (ich war scheinbar eh auch betroffen, allerdings schien es als würde der Window Manager nicht starten) dann gerne empfohlen wird rng-tools5 zu installieren. Dann ist das aber genau das falsche Paket, da es ja wieder die CPU verwendet? haveged schaut da jedenfalls vertrauenswürdiger aus.

[eggy]

@reox:
https://en.wikipedia.org/wiki/RdRand der Abschnitt Reception bzw die im Artikel verlinkten Infos

[reox]

@reox:
https://en.wikipedia.org/wiki/RdRand der Abschnitt Reception bzw die im Artikel verlinkten Infos

danke!

[geier22]

Mit entsprechenden Logs könnte man mal versuchen rauszufinden, ob es "nur" am Kernel liegt, oder ob irgendnen Dienst jetzt neuerdings (mehr) Zufall zum Starten braucht, oder ob die Startreihenfolge der Dienste verändert wurde, oder oder oder ... aber wie üblich: aktive Mitwirkung der Betroffenen nötig.

Doch ich hab mal einen auszug aus dem Log gepostet:
viewtopic.php?f=12&t=170170&hilit=rando ... 5#p1179647
wenn du dann nach random: crng init done Googelst findest du jede Menge zu diesem Thema