很多安全系統(tǒng)都涉及到“隨機(jī)數(shù)”的概念,就是為了讓加密更安全,加密算法中會(huì)加入隨機(jī)數(shù),這樣系統(tǒng)會(huì)變得更加安全和難以破解。不過(guò)可能很多人不知道,這種隨機(jī)數(shù)的生成并沒(méi)有你想得那么隨機(jī),隨機(jī)數(shù)完全依賴(lài)于廣闊的隨機(jī)數(shù)據(jù)資源——而這些數(shù)據(jù)資源量并不足夠龐大。
安全專(zhuān)家Bruce Potter表示,像Linux服務(wù)器生成的數(shù)據(jù)函數(shù)其實(shí)是很“low”的。他在2015美國(guó)黑帽客大會(huì)上表示,這個(gè)問(wèn)題意味著所謂的隨機(jī)數(shù)實(shí)際上也就比人們想得更容易猜到或者破解。
研究人員Sasha Moore先前在隨機(jī)數(shù)生成研究方面,和Potter一起工作,他們對(duì)于自己的這項(xiàng)發(fā)現(xiàn)也都感到非常驚訝和害怕。就像BBC先前報(bào)道的那樣,隨機(jī)數(shù)的生成來(lái)源于一系列資源,包括將鼠標(biāo)和鍵盤(pán)的移動(dòng)轉(zhuǎn)為二進(jìn)制碼。而Potter和Moore的研究則發(fā)現(xiàn),許多Linux服務(wù)器生成的數(shù)據(jù)流不僅包含了相對(duì)低級(jí)的函數(shù),而且也沒(méi)有經(jīng)過(guò)嚴(yán)格的測(cè)試。
“這些資源池很快就枯竭了,讓加密系統(tǒng)的隨機(jī)數(shù)生成機(jī)制根本得不到好的資源。這或許意味著,隨機(jī)數(shù)更容易被猜到,系統(tǒng)也更容易受到暴力攻擊的影響,因?yàn)殡S機(jī)數(shù)的生成并沒(méi)有想象得那么靠譜。”
實(shí)際上,隨機(jī)數(shù)的應(yīng)用不僅限于加密、加大非法數(shù)據(jù)解密的難度,也可以應(yīng)用于某些任務(wù)執(zhí)行、數(shù)據(jù)存儲(chǔ)命令的隨機(jī)化,還有其他一些需要增加安全性的系統(tǒng)中。
Potter的研究揭示了目前比較流行的web服務(wù)器所用加密系統(tǒng)的內(nèi)部問(wèn)題,Potter表示:“這讓我們很害怕,因?yàn)槿绻銓?duì)加密存在這樣的未知性,那么情況就不是那么順利了。”鑒于越來(lái)越多的資料都在線(xiàn)上,這些都依賴(lài)于加密和隨機(jī)數(shù),這樣的問(wèn)題確實(shí)是值得人們 警惕的。
京公網(wǎng)安備 11010502049343號(hào)