id: Гость   вход   регистрация
текущее время 03:33 29/03/2024
Автор темы: Гость, тема открыта 26/12/2012 21:02 Печать
Категории: криптография, случайные числа, хард
создать
просмотр
ссылки

Аппаратные ГСЧ в ЦПУ от Intel


Судя по white papers (веб и filepdf, 457Kb) в 3-ем поколении ЦПУ i5 и i7 реализованы аппаратные ГСЧ/ГПСЧ соответствующие криптографическим критериям, расширенно множество инструкций – Intel Secure Key(codenamed Bull Mountain).
Так же приведен пример про простоту и легкость прикручивания их к OpenSSL с последующими кое-какими тестами производительности.
Есть уже у кого-нибудь опыт практического использования?


 
На страницу: 1, 2, 3, 4 След.
Комментарии
— SATtva (26/12/2012 22:39)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Да.
— unknown (27/12/2012 09:54)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Там ещё и аппаратный AES есть.
— Laden (27/12/2012 21:08)   <#>
Никто из признанных авторитетов в области криптографии ещё не публиковал свои оценки качества работы этого Intel'овского ГСЧ?

Источник энтропии в нем конечно честный и сомнений не вызывает, вот только обратная связь и нормализации делают солюшен в целом чем-то средним между аппаратным ГСЧ и ГПСЧ.

Понятно, что рано или поздно въедливые ребята докопаются до аппаратных уязвимостей позволяющих влиять на распределение вероятностей. Например, та команда, где публичным лицом является Рутковская. Поскольку приблуда довольно новая, то выявление уязвимостей дело будущего. На текущий момент, скорее всего, могли успеть появиться лишь публикации по анализу качества работы в "штатном режиме".
— SATtva (27/12/2012 22:14, исправлен 27/12/2012 22:14)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Никто из признанных авторитетов в области криптографии ещё не публиковал свои оценки качества работы этого Intel'овского ГСЧ?

Тысячи их.
http://lists.randombit.net/pip.....une/thread.html#2995

— Гость (28/12/2012 01:28)   <#>
Ближайшим кандидатом на такое решение (TRNG) может стать инструкция rdrand, которую добавили в новых процессорах интел: http://en.wikipedia.org/wiki/RdRand, http://habrahabr.ru/post/145188. Мое мнение: непосредственно для генерации ключей использовать — паливо, но как дополнительный источник энтропии будет нелишним. Вот этот ГПСЧ, боюсь, в будущем породит волну уязвимостей, ибо его рекламируют как true RNG for secure use, а реально он годится лишь как дополнительный источник энтропии для софтварного RNG. Он далеко не true, а в некоторых процессорах может оказаться вообще нерабочим (определить это никак нельзя).
© Цитата из закромов в амбаре.
— Гость (28/12/2012 02:54)   <#>
а в некоторых процессорах может оказаться вообще нерабочим (определить это никак нельзя).
Отнюдь, это легко проверяется через специальный флаг:
To be specific, support for RDRAND can be determined by examining bit 30 of the ECX register returned by CPUID. ...a value of 1 indicates processor support for RDRAND while a value of 0 indicates no processor support.

Изложено в Section 7.3.18 документа "Intel® 64 and IA-32 Architectures Software Developer Manuals"
— Гость (28/12/2012 03:36)   <#>
Отнюдь, это легко проверяется через специальный флаг
Имелась в виду проверка RNG на бэкдоры или недостаточную рандомность.
— Гость (25/01/2013 19:24)   <#>
Лучше бы sha аппаратный реализовали...
— Гость (25/01/2013 22:13)   <#>
Никто из признанных авторитетов в области криптографии ещё не публиковал свои оценки качества работы этого Intel'овского ГСЧ?
Интересно, как эту штуку вообще возможно проанализировать? У кого кроме Intel есть лаборатории и специалисты для реверса современного CPU?

Источник энтропии в нем конечно честный и сомнений не вызывает
Источник энтропии неизвестный, особенности реализации неизвестны, наличие бекдоров неизвестно. Или вы верите пресс-релизам производителя?

Поскольку приблуда довольно новая, то выявление уязвимостей дело будущего
Если там скрытый бекдор, либо некачественный аппаратный ГСЧ блок, это может быть никогда не выявлено ввиду того что после отбеливания через AES поток ничем не отличим от рандомного для того кто не знает скрытый в железе секрет.

ИМХО использовать любой аппаратный ГСЧ как единственный источник энтропии – несусветная глупость. Используйте какой-нибудь ГПСЧ типа Fortuna в который постоянно подмешивается энтропия из множества источников (на вход можно пихать вообще всё что в голову взбредет, чем больше всякого разного – тем лучше).
— Гость (25/01/2013 23:35)   <#>
ИМХО использовать любой аппаратный ГСЧ как единственный источник энтропии – несусветная глупость.

Золотые слова.
Читал ваш пост и даже призадумался – неужели на пгпгру вернулись толковые специалисты...
Или показалось...
— Гость (26/01/2013 03:17)   <#>
неужели на пгпгру вернулись толковые

Они никуда и не уходили.
— unknown (26/01/2013 19:15)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Первый, второй, третий, все их режимы и разновидности?
— Гость (27/01/2013 03:02)   <#>
Интересно, как эту штуку вообще возможно проанализировать?


Взять тэйп и писать всю последовательность пока период не появится.
— Гость (27/01/2013 03:04)   <#>
Первый, второй, третий, все их режимы и разновидности?


Вместо того чтобы с видио компаниями DRM-ы хардварные встраивать и новое кабельное телевидение с порнухой открывать через процессоры, могли бы весь гражданский стандарт криптографии аппаратно реализовать в камне и открыть технологию.
— Гость (27/01/2013 03:20)   <#>
Взять тэйп и писать всю последовательность пока период не появится.

Кто вам сказал, что закладка в ГСЧ всегда приводит к периоду?
На страницу: 1, 2, 3, 4 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3