Sicherheitsrelevanter Kernel-Parameter wird geändert

https://www.phoronix.com/scan.php?page=news_item&px=Linux-Drop-No-RdRand

The Linux kernel has long honored the “nordrand” kernel parameter to disable kernel use of the Intel RDRAND and RDSEED instructions if not trusting them — either out of security concerns that they could be compromised by the vendor or running into hardware/firmware issues around RdRand usage. But the Linux kernel is preparing to drop that kernel parameter with users encouraged to use the more generic “random.trust_cpu” parameter.

Vielleicht gehören Sie zu denen, die Schwarzen Boxen kein Vertrauen entgegenbringen und haben deshalb Ihrem Linux-Kernel verboten, den Zufallszahlen der CPU zu vertrauen. Nur die Hersteller wissen schließlich, wie sie zustandekommen, und vorhersehbare Zufallszahlen waren ja schon sehr oft das Mittel, einen Verschlüsselungsalgorithmus brechen zu können. Und dafür gibt es seit 2018 den Kernel-Parameter „nordrand“, denn die Zufallszahlenerzeugung des Kernels ist immerhin Open Source, man hat also zumindest eine Chance, sie zu prüfen.

Voraussichtlich ab Kernel 5.20 wird die Option „nordrand“ jedoch nicht mehr zulässig sein, man muss stattdessen „random.trust_cpu=0“ angeben. Diese Option wird übrigens schon seit Einführung dieser Kernel-Fähigkeit erkannt, falls Sie also noch „nordrand“ verwenden, können Sie bereits jetzt umstellen.

Ob der Parameter aber noch viel bringt, sei dahingestellt. Linux hat längst auf das Problem reagiert, indem nämlich schon seit geraumer Zeit alle Zufallszahlen des Prozessors nicht mehr direkt genutzt werden, sondern erst durch die RNG Hash Funktion von Linux gehen müssen – womit es für den Prozessor kaum noch möglich sein sollte, brauchbar gezinkte Zufallszahlen durchzubekommen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.