Historias
Slashboxes
Comentarios
 

Sobre la seguidad de /dev/random, según Linus Torvalds

editada por nettizen el Miércoles, 11 Septiembre de 2013, 06:51h   Printer-friendly   Email story
Un pobrecito hablador nos cuenta: «La psicosis por las filtraciones de Snowden informando de las malas prácticas de la NSA continúa. Leo en Slashdot que un usuario ha solicitado a Linus Torvalds la eliminación de RdRand como fuente de entropía para el dispositivo /dev/random del kernel Linux. RdRand es una instrucción en ensamblador que permite usar el generador de números aleatorios hardware (DRNG) existente en los procesadores Ivy Bridge de Intel. La petición para eliminar su soporte del kernel se justifica por la imposibilidad de auditar de manera independiente si el DRNG es realmente aleatorio o incluye alguna debilidad insertada a propósito por presiones de la NSA sobre Intel. El código para usar RdRand como fuente de entropía en Linux data de 2011. La respuesta de Linus ha sido 'invitar' al firmante de la petición a que estudiase mejor el código de Linux referente a criptografía antes de poner en duda la labor de los mantenedores del kernel, lo que traducido al castellano significa que /dev/random usa varios generadores de números aleatorios, que el uso de RdRand puede deshabilitarse en tiempo de arranque (opción 'nordrand' en la línea de comandos del kernel), y que la paranoia sin motivos es contraproducente.»

Historias relacionadas

[+] XKEYSCORE: El ojo en Internet de la NSA que ve todo. 35 comentarios
Un pobrecito hablador nos cuenta: «Las últimas revelaciones de Snowden publicadas por The Guardian ponen de manifiesto la existencia desde 2008 de un sistema de espionaje aun más grande que el famoso PRISM. Este sistema llamado XKEYSCORE intercepta comunicaciones de Internet por todo el mundo, incluida España. El propio Snowden afirma que podría leer el correo de cualquiera con solo conocer su dirección de email. Según explica una de las páginas del documento usar un idioma distinto al país en el que uno se encuentra residiendo o usar cifrado puede convertirte en sospechoso a los ojos de XKYSCORE. Como nota curiosa el sistema funciona sobre más de 500 servidores Linux repartidos por todo el planeta.»
[+] ciberderechos: La NSA espía las conexiones 'seguras' de Internet 26 comentarios
Luis Digital nos cuenta: «Nuevos documentos filtrados por Snowden dan cuenta de que la NSA ha estado descifrando las conexiones seguras de Internet usando diferentes medios: puertas traseras en productos (hardware y software), y super computadoras. La información es parcial, puesto que quienes publican originalmente la noticia pidieron permiso al gobierno estadounidense para dar a conocer las empresas que colaboran con la NSA, sin obtenerlo. Más información Yahoo! en inglés
[+] Publicado el Informe 'Quién escribe Linux' 1 comentario
La Linux Foundation acaba de publicar el informe anual 'Linux Kernel Development: How Fast it is Going, Who is Doing It, What They are Doing, and Who is Sponsoring It (2013 Edition)' (es necesario registrarse para obtenerlo gratuitamente), más conocido como 'Who Writes Linux report', en el que se detallan diferentes datos sobre el desarrollo del Kernel Linux (que alcanza ya los casi 17 millones de líneas de código), centrándose en los casi 92.000 cambios llevados a cabo por parte de 3.738 personas desde la versión 3.3 publicada en marzo del año pasado. En Ars Technica hacen un interesante análisis de dicho informe destacando el ascenso de Google y de Samsung en el top 10 de los contibuidores corporativos por detrás de Red Hat, Intel, Texas Instruments, Linaro, SUSE e IBM, mientras que Microsoft desaparece prácticamente de dicho listado tras su breve y llamativa irrupción en 2012. Un dato curioso es que Linus Torvalds ha dejado el top 100 de los desarrolladores que más contribuyen, ocupando actualmente el puesto 101. ¿Tendrá que ver algo su proclividad a las polémicas?
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.
  • Impresiona...

    (Puntos:4, Inspirado)
    por rongorongo (23587) el Miércoles, 11 Septiembre de 2013, 07:43h (#1346486)
    ( http://kernel.org/ | Última bitácora: Martes, 03 Septiembre de 2013, 15:58h )
    Impresiona la idea que Linus tiene de unas relaciones públicas. El otro día les deseaba una muerte muy dolorosa a los diseñadores del hardware de sistemas en chip basados en ARM (uséase, a los que añaden los periféricos al chip). También es reseñable su saludo "digital" a Nvidia.

    A mí me hace gracia, reanima tras tanta s0plap0ll3z corporativa.

    Supongo que habrá desarrollado ese estilo tras trabajar bajo la presión de los intereses comerciales de los que tienen algún interés en el kernel: Le dio una patada en el culete al mismísimo Google y no permitió que el kernel de Android se incorporara al principal hasta que no tuvo la forma correcta. Te hace ver que lo que pides es ridículo poniéndote en ridículo.

    Pero no sé como será trabajar con él.

    Desde luego es único.

    Saludos.
    --
    1 + 1 = 3 para grandes valores de 1.
    [ Responder ]
    • Re:Impresiona... de trinuxfree (Puntos:3) Miércoles, 11 Septiembre de 2013, 08:24h
      • Re:Impresiona... de rongorongo (Puntos:2) Miércoles, 11 Septiembre de 2013, 08:45h
      • Re:Impresiona... de pobrecito hablador (Puntos:1) Miércoles, 11 Septiembre de 2013, 08:50h
        • Re:Impresiona... de Mu (Puntos:3) Miércoles, 11 Septiembre de 2013, 11:13h
          • Re:Impresiona...

            (Puntos:4, Interesante)
            por monster (49083) el Miércoles, 11 Septiembre de 2013, 13:26h (#1346543)
            ( Última bitácora: Jueves, 12 Septiembre de 2013, 14:13h )
            Creo que te equivocas.

            Pero Linus no es que se meta con los cabrones o los poderosos. En este caso le echa una peta a un tío que simplemente se ha equivocado en un fallo que me parece bastante razonable.

            A ver... Esta persona, en lugar de informarse sobre cómo funciona la instrucción RDRAND, cómo se utiliza en el kernel de Linux a la hora de generar aleatoriedad y cómo es posible desactivar su uso de forma fácil, o incluso de iniciar al respecto una discusión en la lista de correo de desarrollo del kernel, se monta una iniciativa en change.org donde sin dar ningún motivo concreto por el que deba hacerse, más allá de una especie de "no me siento limpio usándola" pide a otros que erradiquen del kernel su uso. No presenta un parche, no... quiere que otros le hagan el trabajo. En esas circunstancias, Linus ha sido incluso educado: Le ha dicho que no sabe de qué habla ni a nivel de criptografía ni a nivel de conocimiento del kernel, que se informe y se dé cuenta de la tontería que pide. Sinceramente, esa persona tendrá buena intención, pero no tiene NPI de lo que habla.

            Y anteayer veíamos la bronca que le echaba a uno por proponerle pasarse a GPLv3. A mí el tal Michiel no me parece una de esas personas que se merecen nuestro desprecio.

            El tal Michiel tal vez no merezca nuestro desprecio, pero es que ese tema ya está muy trillado: Esa discusión ya la hubo hace años y los desarrolladores del kernel decidieron mayoritariamente que se quedase como GPLv2. Y lo que le dice Linus es muy sencillo: ¿Quieres dar lecciones morales desde lo alto de tu caballo blanco? Hazlo con tu propio kernel.

            Es importante distinguir dos cosas: Primera, que todo el mundo tiene derecho a dar su opinión, pero si una opinión es una tontá no hay por qué andarse con miramientos a la hora de hacerlo ver (y como decía Forrest Gump, "Tonto es el que hace tonterías"). Segunda, que en los proyectos de software libre hay una cantidad ingente de personas pidiendo cosas, haciendo sugerencias o descalificando decisiones que luego no mueven un dedo cuando toca programar. Por eso, quienes llevan años en esos proyectos respetan principalmente a quien aporta código (se le podrá discutir si el código es bueno o no, pero eso es otro tema) pero no se pierde el tiempo con el enésimo recién llegado que tiene grandes ideas para poner el proyecto patas arriba pero no aporta ni una línea de código.
          • Re:Impresiona... de Mu (Puntos:2) Miércoles, 11 Septiembre de 2013, 13:31h
          • 1 respuesta por debajo de tu umbral de lectura actual.
        • Re:Impresiona... de Rundrun (Puntos:2) Jueves, 12 Septiembre de 2013, 06:53h
        • Re:Ni lo uno ni lo otro de jumi (Puntos:1) Miércoles, 11 Septiembre de 2013, 17:20h
        • 1 respuesta por debajo de tu umbral de lectura actual.
      • Re:¿lo cualo? de trinuxfree (Puntos:3) Miércoles, 11 Septiembre de 2013, 13:30h
      • 1 respuesta por debajo de tu umbral de lectura actual.
    • Re:Impresiona... de Braben (Puntos:3) Miércoles, 11 Septiembre de 2013, 10:51h
      • Re:Impresiona... de trinuxfree (Puntos:2) Miércoles, 11 Septiembre de 2013, 11:14h
        • Re:Impresiona... de Braben (Puntos:2) Miércoles, 11 Septiembre de 2013, 11:37h
          • Re:Impresiona... de trinuxfree (Puntos:2) Miércoles, 11 Septiembre de 2013, 11:47h
        • 1 respuesta por debajo de tu umbral de lectura actual.
      • Re:Impresiona... de Braben (Puntos:2) Miércoles, 11 Septiembre de 2013, 11:31h
      • 2 respuestas por debajo de tu umbral de lectura actual.
    • En este caso le entiendo de pleyades (Puntos:3) Miércoles, 11 Septiembre de 2013, 14:37h
    • 3 respuestas por debajo de tu umbral de lectura actual.
  • Problema con RdRand

    (Puntos:1, Interesante)
    por pobrecito hablador el Miércoles, 11 Septiembre de 2013, 08:09h (#1346490)
    El problema con RdRand es que no se sabe cómo funciona por dentro. Sería posible que diera números al azar reales, pero que con el pase de un interruptor oculto deje de hacerlo y genere una secuencia determinística predecible.

    Si se usa como fuente de números al azar sería muy grave. Como fuente de entropía para un generador random en software no sería tan grave, siempre y cuando no sea la única fuente, ni la principal, de entropía.
    [ Responder ]
  • ¿Seguro?

    (Puntos:1, Inspirado)
    por pobrecito hablador el Miércoles, 11 Septiembre de 2013, 08:19h (#1346491)
    ¿Hay ya confirmación de que fue Linus el que respondió?

    Que no me sorprendería que fuera él, pero claro... las noticias si son ciertas, mucho mejor.
    [ Responder ]
  • El millon de tuertos

    (Puntos:1, Inspirado)
    por pobrecito hablador el Miércoles, 11 Septiembre de 2013, 09:41h (#1346505)
    Si algo ha quedado claro con las revelaciones de Snowden es que GNU/Linux y la mayoria de proyectos criptograficos abiertos (OpenSSH, OpenSSL, OpenVPN, etc) tienen puertas traseras por todos lados.

    Algunos expertos de seguridad estan pidiendo al periodista que esta manejando los leaks que de detalles concretos para que los expertos puedan ponerse a parchear fallos y puertras traseras.

    https://medium.com/p/7e156ab41d77 [medium.com]

    Hasta que eso pase estamos todos vendidos.

    Una vez mas el mito del millón de ojos se derrumba.

    Pues resulta que nos han colado varios goles en puerta propia y nisiquiera sabemos cuantos han sido.
    [ Responder ]
  • por trinuxfree (7860) el Miércoles, 11 Septiembre de 2013, 11:59h (#1346531)
    ( http://solognu.wordpress.com/ | Última bitácora: Lunes, 09 Septiembre de 2013, 08:26h )
    Esto va para largo y no es nuevo. Acabo de leer en un comentario en slashdot una referencia al caso de OpenBSD en el año 2010.

    http://barrapunto.com/article.pl?sid=10/12/15/1530 231 [barrapunto.com]

    Como ya he dicho varias veces, otra crisis más para la lista de nuestro mundo contemporáneo: la crisis de confianza.
    --
    As GNU is Not Unix as Linux is Not an OS - Sólo GNU [wordpress.com]
    [ Responder ]
  • Persona precavida vale por dos...

    (Puntos:3, Interesante)
    por juangarcia (44858) el Miércoles, 11 Septiembre de 2013, 12:22h (#1346535)
    Lo que el Sr. Linus llama paranoia yo le llamo ser precavido... No esta de más utilizar un algoritmo que te genere un nivel de entropía adecuado a las exigencias de seguridad de cada uno, y lo siento! no me fío ni de Intel, ni de nadie, me fío de mi criterio y de lo que puedo evaluar...

    Yo desde hace unos años para mejorar la entropía en servidores o entornos virtuales, uso "Haveged"...

    Salu2.
    [ Responder ]
  • No entiendo nada

    (Puntos:1, Troll)
    por Pndel (17582) el Miércoles, 11 Septiembre de 2013, 15:59h (#1346576)
    ( http://www.tutuning.net/ | Última bitácora: Lunes, 16 Septiembre de 2013, 22:37h )

    Sobre la seguidad de /dev/random


    Veo un mogollón de comentarios y yo todavía sigo sin saber de qué va eso de la "seguidad"...
    --
    Homologaciones [tutuning.net] de vehículos tuning
    [ Responder ]
  • Más paranoia, de uno de los tuertos

    (Puntos:1, Informativo)
    por pobrecito hablador el Jueves, 12 Septiembre de 2013, 07:44h (#1346607)
    [ Responder ]
  • 1 respuesta por debajo de tu umbral de lectura actual.