[Comunidad FotoLibre]
Ayuda => Pide ayuda aquí => Mensaje iniciado por: Akenatón en 09 sep 2013, 15:37 pm
-
Ahora que está tan de moda la seguridad en los correos, nubes y sistemas operativos, salta esta noticia para preocuparnos más todavía.
https://plus.google.com/+LinuxMagazineEdiciónenCastellano/posts/GWMuJhcUkrU (https://plus.google.com/+LinuxMagazineEdiciónenCastellano/posts/GWMuJhcUkrU)
¿Debería yo, como usuario de linux, preocuparme por esto?
Un saludo ;)
-
Sí, si es cierto deberíamos preocuparnos todos, todo lo que el gran hermano no quiera que se le escape....no se le escapa sea privativo sea libre, nos tienen cogidos por los xxx y cuando ellos quieran que silbemos, nosotros silbamos y punto...lamentablemente.
-
Yo me he empezado a preocupar al ver que una revista que teóricamente trata de Software Libre está alojada en un sitio que espía y rastrea. (*)
Esta mañana he leído cosas relacionadas en identi.ca/pump.io aunque lo que comentaban en general era que la NSA tenía puertas traseras en aplicaciones privativas para cifrar. Hasta que no sepamos un poco más no me defino, aunque la noticia tiene un cierto aire sensacionalista.
(*) Ya se que no es la excepción ni de lejos.
-
}:-)... Bueno... pero no hay que descartar nada ... de nada, entre otras cosas: dejar al SL limpio de sospechas ... sería demasiada buena publicidad para algo que no es "su" negocio.
Que nos enteremos que el amigo americano es un traidor.. .. y que esta traición la ha cometido con la ayudita de las grandes empresas (USA) de hardware, software y servicios de red ... tiene tela...
Entonces ahora ... vamos a ver si enfangamos ... :nota:
-
Instalad el paquete, haveged (http://www.irisa.fr/caps/projects/hipsor/), que recolecta entropía a partir de eventos del sistema y del "status" del hardware, sin invocar ningún dispositivo "especial" de intel, NSA o el Sursum Corda.
-
Respirad tranquilos (http://lamiradadelreplicante.com/2013/09/09/backdoor-en-linux-de-la-nsa-no-invente-senora/)
-
Respiremos...
Pero para la gente "de a pie" a la que le es imposible entender la mitad de la mitad de los entresijos técnicos que implican al espionaje con nuestros equipos y nuestra comunicación, no deja de ser importante que se haya roto el paradigma de la seguridad en linux (o cualquier otro sistema).
No nos preocupemos, es malo para la salud, pero si debemos "ocuparnos" para el bien de nuestro conocimiento y nuestra capacidad para tomar decisiones acertadas.
Saludos y a seguir estudiando e informándose.
Jose
Nota: me encanta la viñeta: it's dangerous to be right when the government is wrong (es peligroso tener razón cuando el gobierno está equivocado) (http://lamiradadelreplicante.files.wordpress.com/2013/09/dan.jpg)
-
Respirad tranquilos (http://lamiradadelreplicante.com/2013/09/09/backdoor-en-linux-de-la-nsa-no-invente-senora/)
Según este artículo, Medyr, el problema de la "posible puerta trasera" se limitó a 2011, o sea, hace 2 años. ¿Por qué entonces sale ahora a la palestra? Supongo que será cosa del proyecto PRISMA, pero 2 años es mucho tiempo.
O sea que, o el kernel sigue sigue siendo vulnerable, o alguien (Linus me valdría) debería hacer un comunicado desmintiendo esa vulnerabilidad.
Manolo, puesto que no entiendo nada del haveged, te pregunto: ¿este programa sustituye el parche sospechoso de intel?
Un saludo ;)
-
Respuesta de Linus (http://www.change.org/en-GB/petitions/linus-torvalds-remove-rdrand-from-dev-random-4/responses/9066)
Traducción de Meneame (http://www.meneame.net/story/linus-torvalds-responde-peticio-eliminar-rdrand-dev-random):
¿Dónde empiezo una petición para incrementar el CI y conocimiento del kernel de la gente? Tíos, leed drivers/char/random.c. Después, aprended criptografía. Finalmente volved y admitid ante el mundo que os habíais equivocado. Respuesta corta: Sabemos lo que hacemos. Vosotros no. Respuesta larga: usamos rdrand como una de las muchas entradas de entropía y lo usamos para mejorarla. Incluso si hubiera una puerta trasera de la NSA nuestro uso mejora la calidad de los números aleatorios de /dev/random. Respuesta muy corta: Sois unos ignorantes.
-
Instalad el paquete, haveged (http://www.irisa.fr/caps/projects/hipsor/), que recolecta entropía a partir de eventos del sistema y del "status" del hardware, sin invocar ningún dispositivo "especial" de intel, NSA o el Sursum Corda.
Me he perdido en instalad, a partir de hay es como si fueses de otro planeta... ¿o eres de otro planeta?
-
Instalad el paquete, haveged (http://www.irisa.fr/caps/projects/hipsor/), que recolecta entropía a partir de eventos del sistema y del "status" del hardware, sin invocar ningún dispositivo "especial" de intel, NSA o el Sursum Corda.
Me he perdido en instalad, a partir de hay es como si fueses de otro planeta... ¿o eres de otro planeta?
Joer Charly, que quieres aprobar el examen sin estudiar :-XX Anda, ve y léete el enlace original (https://plus.google.com/+LinuxMagazineEdici%C3%B3nenCastellano/posts/GWMuJhcUkrU) del principio del hilo.
-
Joer Charly, que quieres aprobar el examen sin estudiar :-XX Anda, ve y léete el enlace original (https://plus.google.com/+LinuxMagazineEdici%C3%B3nenCastellano/posts/GWMuJhcUkrU) del principio del hilo.
Fantástica la reflexión de un joven de 13 años Dan Rulos. :-)
Saludos
Jose
Nota: insisto, se acabó el paradigma linux. Otra cosa es que nosotros en un acto de fe nos creamos lo que nos bendicen (ben-dicen).
Editado por falta de ortografía.
-
Nota: insisto, se acabó el paradigma linux. Otra cosa es que nosotros en un acto de fe nos creamos lo que nos bendicen (ben-dicen).
Pues no entiendo eso. :ejem: Si no hemos corrido peligro en ningún momento ¿cuál es el problema y porqué se acaba qué paradigma?
Por cierto, no dejo de darle vueltas a que el efecto que ha tenido la noticia es que la NSA ha tenido acceso a todos los que hemos entrado a ver el enlace original en Google+ y los que hayan entrado a ver el blog en el mismo sitio de la persona de Google que se referenciaba en en primer enlace de Medyr.
-
Instalad el paquete, haveged (http://www.irisa.fr/caps/projects/hipsor/), que recolecta entropía a partir de eventos del sistema y del "status" del hardware, sin invocar ningún dispositivo "especial" de intel, NSA o el Sursum Corda.
¿Quieres decir que con solo instalar ese daemon ya es suficiente?. Yo suponía que habría que meter un módulo en el kernel.
He intentado (compilar el módulo hrandom) pero no está disponible para mi arquitectura:
error: "athlon64 k8 systems are not supported"
De todos modos me queda la duda de si sirve para algo, porque tal como lo cuentan en la página se crean dos devices nuevos /dev/hrandom/0 y /dev/hrandom/1 ¿Se podría sustituír /dev/random directamente por uno de estos? Porque al final los programas van a tirar de /dev/random para genera los números aleatorios.
El haveged si lo puedo instalar en mageia, y según el manual dice que alimenta al /dev/random, pero leyendo luego dice...
In Linux, the hardware events that are the ultimate source of any ran‐
dom number sequence are pooled by the /dev/random device for later dis‐
tribution via the device interface. The standard mechanism of harvest‐
ing randomness for the pool may not be sufficient to meet demand, espe‐
cially on those systems with high needs or limited user interaction.
Haveged provides a daemon to fill /dev/random whenever the supply of
random bits in /dev/random falls below the low water mark of the
device.
:?
Tendré que leer la documentación con más calma...
-
Instalad el paquete, haveged (http://www.irisa.fr/caps/projects/hipsor/), que recolecta entropía a partir de eventos del sistema y del "status" del hardware, sin invocar ningún dispositivo "especial" de intel, NSA o el Sursum Corda.
¿Quieres decir que con solo instalar ese daemon ya es suficiente?. Yo suponía que habría que meter un módulo en el kernel.
Si te lees la descripción del paquete verás que menciona que interactúa con /dev/random a nivel de usuario. Algo así como "fuse" sirve para montar dispositivos a nivel de usuario.
El haveged si lo puedo instalar en mageia, y según el manual dice que alimenta al /dev/random, pero leyendo luego dice...
In Linux, the hardware events that are the ultimate source of any ran‐
dom number sequence are pooled by the /dev/random device for later dis‐
tribution via the device interface. The standard mechanism of harvest‐
ing randomness for the pool may not be sufficient to meet demand, espe‐
cially on those systems with high needs or limited user interaction.
Haveged provides a daemon to fill /dev/random whenever the supply of
random bits in /dev/random falls below the low water mark of the
device.
Es que /dev/random, habitualmente, agota su entropía muy rápido y entonces su flujo se interrumpe; eso hace que las aplicaciones se ralenticen porque tienen que esperar a que se recolecte más entropía. Para solucionar eso el kernel provee otro dispositivo, /dev/urandom, que cuando se acaba el pool, sigue escupiendo bits, pero sin garantía de buena aleatoridad. Si no estás en un entorno exigente, puedes preferir tirar de /dev/urandom con tal de que tu aplicación no se pare.
Yo entiendo que haveged soluciona el problema del bajo rendimiento de /dev/random mediante otras estrategias de recolección de entropía y, además, mediante algoritmos pseudoaleatorios razonablemente seguros que multiplican los bits de salida.
Pero no he explorado a fondo la cuestión.
-
Nota: insisto, se acabó el paradigma linux. Otra cosa es que nosotros en un acto de fe nos creamos lo que nos bendicen (ben-dicen).
Pues no entiendo eso. :ejem: Si no hemos corrido peligro en ningún momento ¿cuál es el problema y porqué se acaba qué paradigma?
Al paradigma de que en linux la seguridad se daba por supuesto, en todo caso las vulnerabilidades (la mayoría) eran mas por los programas que corrían bajo en entorno operativo que por el mismo entorno. Ahora con la estrategia de enfangar a todo dios, linux ha quedado comprometido. Nadia salvo raras excepciones (de las que tampoco podemos verificar su honestidad) son capaces de leerse y analizar el proceso que afecta a la seguridad de linux, por mucho que Linus Torvalds se ponga como se ponga y que un analista criptográfico asegure que no afecta a la seguridad de linux.
Por cierto, no dejo de darle vueltas a que el efecto que ha tenido la noticia es que la NSA ha tenido acceso a todos los que hemos entrado a ver el enlace original en Google+ y los que hayan entrado a ver el blog en el mismo sitio de la persona de Google que se referenciaba en en primer enlace de Medyr.
Veras yo no he entrado en Google+, y no se que tiene que ver el que entremos o no a la seguridad de linux. :?? Ya conocemos, hemos sido informados y tenemos la sensación de que pueden "vernos" ¿luego?
Saludos
Jose
-
Nota: insisto, se acabó el paradigma linux. Otra cosa es que nosotros en un acto de fe nos creamos lo que nos bendicen (ben-dicen).
Pues no entiendo eso. :ejem: Si no hemos corrido peligro en ningún momento ¿cuál es el problema y porqué se acaba qué paradigma?
Al paradigma de que en linux la seguridad se daba por supuesto,...
¡Pero eso es un error de concepto! ¡La seguridad no existe! :taclaro:
De hecho, hay dos clases de informáticos. Los que te dicen que la seguridad no existe y los malos. Si un informático te dice que algo es seguro, date la vuelta y corre.
Una cosa es que hablando superficialmente podamos llegar a pronunciar frases más o menos rápidas en las que digamos que "Linux es seguro", pero la frase exacta sería que Linux es muy seguro o más seguro que la mayoría.
Para empezar si fuera "seguro a secas" no tendríamos que estar cada pocos días aplicando parches de seguridad. Y por otro lado, el estar aplicando parches de seguridad cada poco tiempo lo hace más o incluso, muy seguro.
Es como cuando te preguntan que si tiene o puede tener virus. Claro que puede tenerlos. Una herramienta abierta puede usarse literalmente para cualquier cosa, como un cuchillo de cocina. Otro tema es que las medidas de seguridad que tiene Linux y su propio diseño hacen casi imposible que tuviera éxito, y por lo tanto no es algo para preocuparnos.
La seguridad siempre deberá preocuparnos. Y si no recordad los frecuentes ataques que tenemos en el servidor.
en todo caso las vulnerabilidades (la mayoría) eran mas por los programas que corrían bajo en entorno operativo que por el mismo entorno.
Desconozco la proporción pero si estás un poco al tanto, en el propio sistema surgen vulnerabilidades todos los días. Lo que pasa es que la mayoría se solucionan en unas horas. Esa idea la encuentro equivocada.
Ahora con la estrategia de enfangar a todo dios, linux ha quedado comprometido.
No.
Nadia salvo raras excepciones (de las que tampoco podemos verificar su honestidad) son capaces de leerse y analizar el proceso que afecta a la seguridad de linux, por mucho que Linus Torvalds se ponga como se ponga y que un analista criptográfico asegure que no afecta a la seguridad de linux.
Eso ya es actitud de cada uno. Si a ti el hecho de que un rumor se convierta en bulo antes de que la realidad pueda estropear una noticia te hace confiar más en los autores del bulo que en los del programa solo porque te lo han explicado de una forma que te resulta más fácil entenderlo, me temo que el problema lo tienes tú y no la seguridad de Linux. :ejem:
Es el método de los telediarios, explicar una noticia justificándola de modo que a los receptivos televidentes les venga a la mente un ¡Ah, claro! y ya no sigan pensando más no sea que se les ocurra otra cosa.
La situación es muy simple. A partir de unos hechos mal definidos y peor contados se llega a la conclusión de que Linux podría estar comprometido (si fueran ciertos) y Linus es malo malísimo. Se desmonta la teoría, se desmienten los presuntos hechos y se explica que no hay base técnica para el argumento.
No es necesario tener ninguna base técnica. Depende de la confianza que tienes en el que te dice que sí y el que te dice que no. Si el primero que pasa te va a tirar por tierra todas tus convicciones, tal vez éstas no sean tan... estables/sólidas...
Por cierto, no dejo de darle vueltas a que el efecto que ha tenido la noticia es que la NSA ha tenido acceso a todos los que hemos entrado a ver el enlace original en Google+ y los que hayan entrado a ver el blog en el mismo sitio de la persona de Google que se referenciaba en en primer enlace de Medyr.
Veras yo no he entrado en Google+, y no se que tiene que ver el que entremos o no a la seguridad de linux. :?? Ya conocemos, hemos sido informados y tenemos la sensación de que pueden "vernos" ¿luego?
Mi comentario no tiene que ver con la seguridad de Linux sino con la NSA. Es paradójico que se publique un artículo sobre que la NSA nos ha estado espiando a través de Linux (que termina siendo falso) y al leerlo la NSA nos ha espiado por leer el artículo.
El artículo está alojado en Google+, sitio como todos los de Google en el que solo por entrar te están rastreando (http://uniposible.es/2013/07/08/documentos-de-la-sesion-entendiendo-internet-y-el-rastro-que-dejamos/). Y está demostrado que la NSA tiene acceso a los ordenadores de Google y coge todo lo que hay ahí (http://rafael.bonifaz.ec/blog/2013/06/la-vigilancia-en-internet/).
-
Tendré que leer la documentación con más calma...
Creo que ya lo tengo algo más claro: El haveged (que seguro que lo tenéis como paquete en vuestra distribución) no está de mas instalarlo y mejora la entropía de la generación de números aleatorios del kernel.
Creo que Linus tiene razón. Por muy predecible que sea el rdrandr del procesador el /dev/random no lo será. Pero para los muy paranoicos del asunto, la solución está en pasarle al kernel el parámetro -nordrandr desde el arranque y listo, ya no usará la 'sospechosa' generación de aleatorios por hardware del procesador.
Y creo que esto no es más que otro episodio de FUD (http://es.wikipedia.org/wiki/Fear,_uncertainty_and_doubt) vamos de 'Y tu también'. Pero nunca está de más que se abran debates como estos y que lleguen a todo el mundo, es la única manera de que el software libre sea cada vez mejor y más seguro.
-
Colegota, no se trata de "mis" convicciones (a las que tengo derecho de manosear como mejor entienda) sino de la generalidad de usuarios cuya experiencia es la de "usar" un sistema que (por orden) no tiene coste monetario y además goza (gozaba) de la pretensión de ser seguro justamente por esto que escribes:
Una cosa es que hablando superficialmente podamos llegar a pronunciar frases más o menos rápidas en las que digamos que "Linux es seguro", pero la frase exacta sería que Linux es muy seguro o más seguro que la mayoría.
Para empezar si fuera "seguro a secas" no tendríamos que estar cada pocos días aplicando parches de seguridad. Y por otro lado, el estar aplicando parches de seguridad cada poco tiempo lo hace más o incluso, muy seguro
y por esto otro
Desconozco la proporción pero si estás un poco al tanto, en el propio sistema surgen vulnerabilidades todos los días. Lo que pasa es que la mayoría se solucionan en unas horas. Esa idea la encuentro equivocada.
lo que no invalida los errores que suele tener el programario y que suelen tardar mas en solucionarse si es que se solucionan.
Sigo creyendo que "en general" muchos usuarios se quedan con la duda ante noticias como las que comentamos. A diferencia de tus convicciones, yo si creo que hay intereses en "enfangar" linux o cualquier otra alternativa libre y eso alenta la duda y la desconfianza en consecuencia de los usuarios.
Si a ti el hecho de que un rumor se convierta en bulo antes de que la realidad pueda estropear una noticia te hace confiar más en los autores del bulo que en los del programa solo porque te lo han explicado de una forma que te resulta más fácil entenderlo, me temo que el problema lo tienes tú y no la seguridad de Linux
No parece que quien esta en desacuerdo en el uso del rdrand sea cualquiera y no es un bulo, generó en su momento sus buenas discusiones con los desarrolladores del kernel, entre otras cosas técnicas (de las que no tengo ni pajolera idea) porque al parecer mejoraba el proceso, pero no era estrictamente necesario, lo peor y esa era la discusión sustantiva, que no se podía auditar una pieza de hardware cerrado (eso es para mi lo sustancial, insisto) Para Torvals eso puede no ser relevante. Pero se ponga como se ponga el Sr. Torvals, eso, para "mi" (usuario de a pie) no refuerza para nada la confianza en ese proceso.
Otra cosa es que me conforme, que acepte los inconvenientes, que no tenga posibilidades (conocimientos, tiempo y ganas) de cambiar o modificar linux, pero para nada estoy de acuerdo con
Si el primero que pasa te va a tirar por tierra todas tus convicciones, tal vez éstas no sean tan... estables/sólidas...
Porque insisto que no era el "primero que pasa"...
Y si, yo si estoy convencido que si la NSA o cualquier otro organismo con capacidad suficiente quiere ver o saber sobre mi vida, lo va a conseguir, con linux o con criptografía o con lo que se me pueda ocurrir.
Saludos
Jose
-
Y creo que esto no es más que otro episodio de FUD (http://es.wikipedia.org/wiki/Fear,_uncertainty_and_doubt) vamos de 'Y tu también'. Pero nunca está de más que se abran debates como estos y que lleguen a todo el mundo, es la única manera de que el software libre sea cada vez mejor y más seguro.
Estoy de acuerdo.
Jose
-
Hum, Jofial... en lugar de ir respondiendo línea por línea ambos... a ver si hablamos de lo mismo.
¿Quieres decir algo así como que no hay nada que hacer o que todo está perdido porque se ha roto el mito de que Linux es seguro? :??
Es que no estoy seguro de haberte entendido.
Y si, yo si estoy convencido que si la NSA o cualquier otro organismo con capacidad suficiente quiere ver o saber sobre mi vida, lo va a conseguir, con linux o con criptografía o con lo que se me pueda ocurrir.
Conseguirá más, o menos, o nada, dependiendo de las trabas que le pongas. Si esto es la típica frase derrotista de "Como no tenemos nada que hacer, mejor no hacemos nada" entonces conseguirán todo lo que quieran.
-
Perdonad, pero aunque intento seguir la conversación creo que me he perdido 2 ó 3 calles atrás.
Por lo que puedo inferir, parece más un bulo con ánimo de desprestigiar el software libre que un problema real. Por lo que comentáis los procesos de generación de entropía por hardware son bastante seguros. ¿Es así?
Por otra parte: ¿realmente no se puede auditar esa generación de entropía? Siendo el código libre, ¿por qué no se puede?.
-
Perdonad, pero aunque intento seguir la conversación creo que me he perdido 2 ó 3 calles atrás.
Por lo que puedo inferir, parece más un bulo con ánimo de desprestigiar el software libre que un problema real. Por lo que comentáis los procesos de generación de entropía por hardware son bastante seguros. ¿Es así?
Ciertos procesadores disponen de la instrucción rdrandr, que devuelve números aleatorios.
Cómo generan esos números y cuanto aleatorios son solo lo sabe el fabriicante del procesador.
En el kernel Linux si el procesador dispone de esa función, se utiliza, pero no es la única fuente de entropía, por tanto aunque la instrucción rdrandr fuese predecible, al ser combinada con otros generadores de entropía deja de serlo. Es más el uso de rdrandr se puede desactivar a voluntad y entonces el kernel se comportaría como si el procesador no dispusiese de dicha instrucción
Por otra parte: ¿realmente no se puede auditar esa generación de entropía? Siendo el código libre, ¿por qué no se puede?.
El código del kernel si se puede auditar, pero el hardware del procesador no. Si Intel te dice que rdrandr genera un número aleatorio pues te tienes que fiar de lo que dice Intel.
¿Se puede poner una puerta trasera en el hardware del procesador, para facilitar el decodificado de claves? En principio pudiera parecer que si, pero... eso sería si el software de criptografía solo usase la instrucción rdrandr, y no es así. El software de criptografía usa la generación de números aleatorios del kernel que es tan segura usando rdrandr como no usándolo.
-
Por otra parte: ¿realmente no se puede auditar esa generación de entropía? Siendo el código libre, ¿por qué no se puede?.
Es que el dispositivo de Intel, a partir del cual se ha suscitado toda la polémica, es una caja negra cerrada que nadie sabe lo que hay dentro. Se puede auditar la salida, sí, y se comprueba que estadísticamente la ristra de bits no se distingue de una salida aleatoria. Pero eso no impide que se oculte algo en esa ristra de bits que permita a un atacante que conozca los secretos (el fabricante, que le da las especificaciones a la NSA) desentrañar todo el flujo.
Lo que dice Linus, es que ese dispositivo no es más que una de las muchas fuentes que alimentan el flujo de /dev/random e invita a todo el mundo a leer el código fuente de esa parte del kernel. Yo no lo he hecho, pero supongo que se tomarán esas varias fuentes de entropía y se les aplicarán algún algoritmo de corrección de sesgo más uno o varios algoritmos criptográficos de mezcla de las fuentes. Si es así, entonces, como dice Linus, el uso de esa caja negra no es una "puerta de atrás" clara para la NSA.
-
¿Quieres decir algo así como que no hay nada que hacer o que todo está perdido porque se ha roto el mito de que Linux es seguro? :??
Es que no estoy seguro de haberte entendido.
Hay mucho por hacer. Todo no esta perdido, pero cada día se va debilitando mas la pretensión (que es un derecho) de ser cada día mas libres (https://medium.com/p/7e156ab41d77).
Y si, yo si estoy convencido que si la NSA o cualquier otro organismo con capacidad suficiente quiere ver o saber sobre mi vida, lo va a conseguir, con linux o con criptografía o con lo que se me pueda ocurrir.
Conseguirá más, o menos, o nada, dependiendo de las trabas que le pongas. Si esto es la típica frase derrotista de "Como no tenemos nada que hacer, mejor no hacemos nada" entonces conseguirán todo lo que quieran.
Bueno, pues me quedo esperando ansioso cuando consigas el ..o nada.... De momento y como realista que pretendo ser me conformo con poner trabas. No se cual es tu definición de derrotista, pero te aseguro que no suelo bajar los brazos fácilmente.
Saludos
Jose
Modificado por incluir enlace
-
Cada paso que damos nosotros es uno que retroceden ellos. Cada vez que nos quedamos en casa les dejamos el campo libre.
:)
-
Cada paso que damos nosotros es uno que retroceden ellos. Cada vez que nos quedamos en casa les dejamos el campo libre.
Ahí, amigo mio (si me permites) me vas a encontrar. No pretendo alargar el hilo pero hoy he leído esto (http://www.muylinux.com/2013/09/10/puerta-trasera-nsa-linux-2/) que lo resume un poco y que explica (mucho mejor que yo) lo de la caída del paradigma sobre la seguridad en linux. Dicho esto, te doy la razón en cuanto que la seguridad y las herramientas que empleamos para protegerla dependen de nosotros y no de un sistema informático y sigo pensando que el SL y en particular el mundo que apoya el kernel linux son para :plas: y que con ellos estoy.
Saludos
Jose
-
Lo que dice Linus, es que ese dispositivo no es más que una de las muchas fuentes que alimentan el flujo de /dev/random e invita a todo el mundo a leer el código fuente de esa parte del kernel. Yo no lo he hecho, pero supongo que se tomarán esas varias fuentes de entropía y se les aplicarán algún algoritmo de corrección de sesgo más uno o varios algoritmos criptográficos de mezcla de las fuentes. Si es así, entonces, como dice Linus, el uso de esa caja negra no es una "puerta de atrás" clara para la NSA.
Para entender mejor el funcionamiento de la generación de aleatorios en el kernel hay un interesante artículo en LWN (https://lwn.net/Articles/525459/).
Resumiendo mucho lo que hace es utilizar la salida de RDRAND para aplicar XOR a los flujos existentes de entropía del kernel que siempre se han nutrido de eventos externos y por lo tanto impredecibles. Nunca se utiliza la salida de RDRAND como flujo directo de aleatorios.
(https://lwn.net/images/2012/random_numbers/lkrng.png)