Kernel Entropie-Mangel

Welches Modul/Treiber für welche Hardware, Kernel compilieren...
Antworten
RobertDebiannutzer
Beiträge: 385
Registriert: 16.06.2017 09:52:36

Kernel Entropie-Mangel

Beitrag von RobertDebiannutzer » 29.08.2018 10:37:41

In letzter Zeit habe ich häufig von Problemen mit Entropie gelesen. Nun habe ich zufällig folgenden Artikel entdeckt:
https://www.theregister.co.uk/2018/08/2 ... 419_trust/
Haben diese Probleme vielleicht mit etwas in der Art zu tun? Wurde zwar erst mit 4.19 eingeführt, aber vielleicht haben die Debian-Maintainer da im Zuge des Prozessor-Sicherheitslücken-Schutzes schon etwas in der Richtung angestoßen? Dass man jetzt quasi nicht mehr der CPU traut und deswegen getrandom() solange blockiert, bis "genügend Zufall" da ist?

BenutzerGa4gooPh

Re: Kernel Entropie-Mangel

Beitrag von BenutzerGa4gooPh » 29.08.2018 15:02:57

Gibt schon so viele Threads dazu, bestimmt jede Woche einer. Meist wegen neuerdings verlängerter Bootzeit. :suche:
Entropie , Debianhaveged (Manpage) usw.

In einen recht aktuellen Thread hat @eggy mit eigenen Worten verständlich erklärt. Vorteile + Nachteile ebenso :THX:
viewtopic.php?f=12&t=170637#p1182743

Obige Frage eher an Kernel-Entwickler als an Maintainer oder Foren? So wegen tiefgehender, konkreter fachlicher Erläuterung, Begründung. Oder eben Recherche nach wissenschaftlichen Dokumenten. :wink:

eggy
Beiträge: 3334
Registriert: 10.05.2008 11:23:50

Re: Kernel Entropie-Mangel

Beitrag von eggy » 29.08.2018 15:21:51

Wenn es "nur" am Kernel liegt, sollte sich das durch "einmal mit aktuellem Kernel booten, Zeit aufschreiben (bzw den systemd-analyse blame output wegspeichern); einmal mit altem Kernel booten, Zeit aufschreiben; Zeiten vergleichen" verifizieren lassen. Müsste halt mal jemand der Betroffenen machen.

Mich interessiert es jetzt nicht so sehr, dass ich dafür booten mag, keine Ahnung ob ich das Problem überhaupt hab. In fast allen entsprechenden Threads ist auf systemd-analyse blame hingewiesen worden, Logs gepostet haben die Betroffenen, soweit ich das im Hinterkopf hab, aber nicht. Mit entsprechenden Logs könnte man mal versuchen rauszufinden, ob es "nur" am Kernel liegt, oder ob irgendnen Dienst jetzt neuerdings (mehr) Zufall zum Starten braucht, oder ob die Startreihenfolge der Dienste verändert wurde, oder oder oder ... aber wie üblich: aktive Mitwirkung der Betroffenen nötig.

RobertDebiannutzer
Beiträge: 385
Registriert: 16.06.2017 09:52:36

Re: Kernel Entropie-Mangel

Beitrag von RobertDebiannutzer » 30.08.2018 09:48:03

Wenn schon systemd, dann nutze ich immer "systemd-analyze plot > plot.svg"... :mrgreen:
Da kommt bei mir raus:

Code: Alles auswählen

Startup finished in 3.975s (firmware) + 4.749s (loader) + 2.549s (kernel) + 1.987s (userspace) = 13.261s
Kernel 4.9.110-3+deb9u4 (2018-08-21)
Und wer ist der Bösewicht?

Code: Alles auswählen

exim4.service (1.116s)
Keine Ahnung, ob das normal ist und ob es normal ist, dass der Kernel in 2,5s startet. Ich habe eigentlich kein Problem mit meiner Boot-Zeit. Mich interessiert das Thema nur wegen der Sicherheits-Aspekte, die im verlinkten Artikel angesprochen wurden. Ich fürchte, zum erweiterten Testen habe ich gerade keine Zeit. Schade ist natürlich, dass die Betroffenen nicht genauere Angaben machen, denn es ist eigentlich ziemlich einfach...

reox
Beiträge: 2515
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: Kernel Entropie-Mangel

Beitrag von reox » 04.09.2018 20:52:19

Ich vermute das es derzeit einfach nur Indizien gibt, dass die PRNGs der CPUs zu berechenbar sind - mir wäre bisher kein Beweis dafür untergekommen.
Gab es nicht mal einen Talk auf dem Chaos Congress über Hardware Trojaner um PRNGs zu schwächen? Waren das Leute von infenion oder so? Oder verwechsel ich gerade was?
Aber irgendwo klingelt was im zusammenhang von PRNG und der NSA... dieses hier was es vllt https://www.wired.com/2013/09/nsa-backdoor/

Interessant ist, das zu dem Thema Bootzeiten (ich war scheinbar eh auch betroffen, allerdings schien es als würde der Window Manager nicht starten) dann gerne empfohlen wird Debianrng-tools5 zu installieren. Dann ist das aber genau das falsche Paket, da es ja wieder die CPU verwendet? Debianhaveged schaut da jedenfalls vertrauenswürdiger aus.

eggy
Beiträge: 3334
Registriert: 10.05.2008 11:23:50

Re: Kernel Entropie-Mangel

Beitrag von eggy » 05.09.2018 02:16:13

@reox:
https://en.wikipedia.org/wiki/RdRand der Abschnitt Reception bzw die im Artikel verlinkten Infos

reox
Beiträge: 2515
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: Kernel Entropie-Mangel

Beitrag von reox » 05.09.2018 19:34:22

eggy hat geschrieben: ↑ zum Beitrag ↑
05.09.2018 02:16:13
@reox:
https://en.wikipedia.org/wiki/RdRand der Abschnitt Reception bzw die im Artikel verlinkten Infos
danke!

geier22

Re: Kernel Entropie-Mangel

Beitrag von geier22 » 06.09.2018 00:17:59

eggy hat geschrieben: ↑ zum Beitrag ↑
29.08.2018 15:21:51
Mit entsprechenden Logs könnte man mal versuchen rauszufinden, ob es "nur" am Kernel liegt, oder ob irgendnen Dienst jetzt neuerdings (mehr) Zufall zum Starten braucht, oder ob die Startreihenfolge der Dienste verändert wurde, oder oder oder ... aber wie üblich: aktive Mitwirkung der Betroffenen nötig.
Doch ich hab mal einen auszug aus dem Log gepostet:
viewtopic.php?f=12&t=170170&hilit=rando ... 5#p1179647
wenn du dann nach random: crng init done Googelst findest du jede Menge zu diesem Thema

Antworten