随机数在计算机系统中处于非常重要的地位,如果没有随机数,可能很多应用都将陷入麻烦,随机数在密码学和安全领域也是至关重要。本文主要介绍随机数的概念和重要性,Linux 系统中随机数是如何产生的,后介绍在 KVM 虚拟机中如何添加和使用硬件随机数产生器来产生随机数。 什么是随机数 很多软件和应用都需要随机数,从纸牌游戏中纸牌的分发到 SSL 安全协议中密钥的产生,到处都有随机数的身影。随机数至少具备两个条件: 1、数字序列在统计上是随机的 2、不能通过已知序列推算后面的序列 自从计算机诞生起,寻求用计算机产生高质量的随机数序列的研究一直是研究者长期关注的课题。一般情况下,使用计算机程序产生一个真正的随机数是很难的,因为程序的行为是可预测的,计算机利用设计好的算法结合用户提供的种子产生的随机数序列通常是“伪随机数”(pseudo-random number),伪随机数是我们平时经常使用的“随机数”。伪随机数可以满足一般应用的需求,但是在对于安全要求比较高的环境和领域中存在明显的缺点: 1、伪随机数是周期性的,当它们足够多时,会重复数字序列 2、如果提供相同的算法和相同的种子值,将会得出完全一样的随机数序列 3、可以使用逆向工程,猜测算法与种子值,以便推算后面所有的随机数列 只有实际物理过程才是真正的随机,只有借助物理世界中事物的随机性才能产生真正的随机数,比如真空内亚原子粒子量子涨落产生的噪音、超亮发光二极管在噪声的量子不确定性和放射性衰变等。 随机数为什么如此重要 生成随机数是密码学中的一项基本任务,是生成加密密钥、加密算法和加密协议所必不可少的,随机数的质量对安全性至关重要。近报道有人利用随机数缺点成功攻击了某网站,获得了管理员的权限。美国和法国的安全研究人员近也评估了两个 Linux 内核 PRNG——/dev/random 和/dev/urandom 的安全性,认为 Linux 的伪随机数生成器不满足鲁棒性的安全概念,没有正确积累熵。可见随机数在安全系统中占据着非常重要的地位。 Linux 中随机数如何产生 PRNG(Pseudo-Random Number Generator) 1994 年,美国软件工程师 Theodore Y. Ts’o 第一次在 Linux 内核中实现了随机数发生器,使用 SHA-1 散列算法而非密码,提高了密码强度。 Linux 内核采用熵来描述数据的随机性,熵(entropy)是描述系统混乱无序程度的物理量,一个系统的熵越大则说明该系统的有序性越差,即不确定性越大。内核维护了一个熵池用来收集来自设备驱动程序和其它来源的环境噪音。理论上,熵池中的数据是完全随机的,可以实现产生真随机数序列。为跟踪熵池中数据的随机性,内核在将数据加入池的时候将估算数据的随机性,这个过程称作熵估算。熵估算值描述池中包含的随机数位数,其值越大表示池中数据的随机性越好。 内核中随机数发生器 PRNG 为一个字符设备 random,代码实现在 drivers/char/random.c,该设备实现了一系列接口函数用于获取系统环境的噪声数据,并加入熵池。系统环境的噪声数据包括设备两次中断间的间隔,输入设备的操作时间间隔,连续磁盘操作的时间间隔等。 对应的接口包括:
void add_device_randomness(const void *buf, unsigned int size); void add_input_randomness(unsigned int type, unsigned int code, unsigned int value); void add_interrupt_randomness(int irq, int irq_flags); void add_disk_randomness(struct gendisk *disk); |
内核提供了 1 个的接口来供其他内核模块使用。 void get_random_bytes(void *buf, int nbytes); 该接口会返回指定字节数的随机数。random 设备了提供了 2 个字符设备供用户态进程使用——/dev/random 和/dev/urandom: /dev/random 适用于对随机数质量要求比较高的请求,在熵池中数据不足时, 读取 dev/random 设备时会返回小于熵池噪声总数的随机字节。/dev/random 可生成高随机性的公钥或一次性密码本。若熵池空了,对/dev/random 的读操作将会被阻塞,直到收集到了足够的环境噪声为止。这样的设计使得/dev/random 是真正的随机数发生器,提供了大可能的随机数据熵。 /dev/urandom,非阻塞的随机数发生器,它会重复使用熵池中的数据以产生伪随机数据。这表示对/dev/urandom 的读取操作不会产生阻塞,但其输出的熵可能小于/dev/random 的。它可以作为生成较低强度密码的伪随机数生成器,对大多数应用来说,随机性是可以接受的。 /dev/random 也允许写入,任何用户都可以向熵池中加入随机数据。即使写入非随机数据亦是无害的,因为只有管理员可以调用 ioctl 以增加熵池大小。Linux 内核中当前熵的值和大小可以通过访问 /proc/sys/kernel/random/得到,比如:
# cat /proc/sys/kernel/random/poolsize 4096 # cat /proc/sys/kernel/random/entropy_avail 298 # cat /proc/sys/kernel/random/uuid 4f0683ae-6141-41e1-b5b9-57f4bd299219 |