random(7) Miscellaneous Information Manual random(7)

random - przegląd interfejsów do pozyskiwania losowości

Generator liczb losowych jądra generuje ziarno dla kryptograficznie bezpiecznego generatora liczb pseudolosowych (ang. cryptographically secure pseudorandom number generator — CSPRNG), w oparciu o entropię zebraną ze sterowników urządzeń i innych źródeł szumu środowiskowego. Jest on zaprojektowany nie pod kątem szybkości, lecz bezpieczeństwa.

Dostęp do wyjścia z CSPRNG jądra dają następujące interfejsy:

Urządzenia /dev/urandom i /dev/random, opisane w podręczniku random(4). Urządzenia te istniały od wczesnego Linuksa i są dostępne również na wielu innych systemach.
Typowo linuksowe wywołanie systemowe getrandom(2), dostępne od Linuksa 3.17. To wywołanie systemowe zapewnia dostęp do tego samego źródła co /dev/urandom (dalej: „źródło urandom”) albo do tego samego źródła co /dev/random (dalej: „źródło random”). Domyślnym źródłem jest źródło urandom; źródło random jest wybierane podając do wywołania systemowego znacznik GRND_RANDOM (funkcja getentropy(3) zapewnia nieco bardziej przenośny interfejs zbudowany na getrandom(2)).

Jądro zbiera bity entropii ze środowiska. Gdy zbierze odpowiednią ilość losowych bitów, pula entropii jest uważana za zainicjowaną.

O ile nie generuje się długoterminowych kluczy (a zwykle nawet wówczas), prawdopodobnie nie ma potrzeby odczytywania z urządzenia /dev/random, ani korzystania z getrandom(2) ze znacznikiem GRND_RANDOM. W zamian powinno się odczytywać z urządzenia /dev/urandom lub korzystać z getrandom(2) bez znacznika GRND_RANDOM. Algorytmy kryptograficzne używane jako źródło urandom są dość konserwatywne, dlatego powinny być wystarczające do wszystkich zastosowań.

Wadą GRND_RANDOM i odczytywania z /dev/random jest fakt, że operacja ta może blokować na nieokreślony czas. Co więcej, radzenie sobie z częściowo zaspokojonymi żądaniami, co może zdarzyć się przy korzystaniu z GRND_RANDOM lub odczytywaniu z /dev/random, zwiększa złożoność kodu.

Korzystanie z tych interfejsów w celu dostarczania dużej ilości danych symulacjom Monte Carlo i innym programom/algorytmom wykonującym próbkowanie probabilistyczne będzie wolne. Ponadto jest niezasadne, ponieważ takie aplikacje nie wymagają liczb losowych kryptograficznie bezpiecznych. Zamiast tego, należy korzystać z opisanych w niniejszym podręczniku interfejsów do pozyskania niewielkiej ilości danych jako ziarna do generatora liczb pseudolosowych, znajdującego się w przestrzeni użytkownika, używanego przez aplikacje tego typu.

Poniższa tabela podsumowuje zachowanie różnych interfejsów, jakie mogą być stosowane do pozyskania losowości. GRND_NONBLOCK jest znacznikiem kontrolującym blokujące zachowanie getrandom(2). Ostatnia kolumna dotyczy przypadku, jaki może mieć miejsce we wczesnej fazie rozruchu, gdy pula entropii nie została jeszcze zainicjowana.

Interfejs Pula Zachowanie blokowania Zachowanie, gdy pula nie jest jeszcze gotowa
/dev/random Pula blokująca Gdy zbyt mało entropii, blokuje do momentu wystąpienia wystarczającej entropii Blokuje, do momentu zebrania wystarczającej entropii
/dev/urandom Wyjście CSPRNG Nigdy nie blokuje Zwraca wyjście z niezainicjowanej CSPRNG (być może ze zbyt niską entropią, nieodpowiednią dla kryptografii)
getrandom() Jak /dev/urandom Nie blokuje po uzyskaniu gotowości puli Blokuje, do momentu uzyskania gotowości puli
getrandom() GRND_RANDOM Jak /dev/random Gdy zbyt mało entropii, blokuje do momentu wystąpienia wystarczającej entropii Blokuje, do momentu uzyskania gotowości puli
getrandom() GRND_NONBLOCK Jak /dev/urandom Nie blokuje po uzyskaniu gotowości puli EAGAIN
getrandom() GRND_RANDOM + GRND_NONBLOCK Jak /dev/random EAGAIN gdy zbyt mało entropii EAGAIN

Ilość ziarna, potrzebnego do wygenerowania klucza kryptograficznego równa się efektywnemu rozmiarowi klucza. Przykładowo, 3072-bitowy klucz prywatny RSA lub Diffiego-Hellmana ma efektywny rozmiar 128 bitów (wymaga około 2^128 operacji do złamania), zatem generator klucza potrzebuje jedynie 128 bitów (16 bajtów) ziarna z /dev/random.

Choć pewien margines bezpieczeństwa ponad to minimum jest rozsądny, jako zabezpieczenie wobec ułomności w algorytmie CSPRNG, żadna z dostępnych aktualnie funkcji pierwotnych nie może obiecać więcej niż 256 bitów bezpieczeństwa, zatem jeśli program odczytuje więcej niż 256 bitów (32 bajty) z puli losowości jądra na wywołanie albo na rozsądny interwał ponownego generowania ziarna (nie mniejszy niż minutę), należy to uznać za oznakę braku umiejętnej implementacji kryptograficznej.

getrandom(2), getauxval(3), getentropy(3), random(4), urandom(4), signal(7)

Autorami polskiego tłumaczenia niniejszej strony podręcznika są: Michał Kułach <michal.kulach@gmail.com>

Niniejsze tłumaczenie jest wolną dokumentacją. Bliższe informacje o warunkach licencji można uzyskać zapoznając się z GNU General Public License w wersji 3 lub nowszej. Nie przyjmuje się ŻADNEJ ODPOWIEDZIALNOŚCI.

Błędy w tłumaczeniu strony podręcznika prosimy zgłaszać na adres listy dyskusyjnej manpages-pl-list@lists.sourceforge.net.

2 maja 2024 r. Linux man-pages 6.9.1