Dem Cloud-Computing fehlt Entropie
Wenn es wie in virtuellen Maschinen keine physische Tastatur, keine Maus und keine Festplatte mehr gibt, fehlt den Zufallszahlengeneratoren die nötige Entropie.
- Christian Kirsch
In Cloud-Umgebungen ausgelagerte Programme könnten Schwierigkeiten haben, die für Verschlüsselung und Authentifizierung benötigten Zufallszahlen zu bekommen. Diese Auffassung vertrat eine Gruppe von drei Forschern auf der gerade beendeten Black-Hat-Konferenz.
Zur Erzeugung dieser (Pseudo-)Zufallszahlen benötige etwa Linux möglichst viele externe Ereignisse wie Mausbewegungen, Tastaturanschläge und Bewegungen des Lesekopfes der Festplatte. Dem Vortrag von Andrew Becherer, Alex Stamos und Nathan Wilcox zufolge wird der Pseudo Random Number Generator (PRNG) zunächst mit der Uhrzeit initialisiert und anschließend mit Festplatten- und IRQ-Events gefüttert. In einer virtuellen Umgebung teilten sich jedoch alle Gastsysteme die Uhrzeit, und es gebe nicht genügend unterschiedliche Ereignisse, da physische Geräte fehlten oder gemeinsam benutzt würden.
Dadurch ließen sich möglicherweise Start- und Inkrementwerte des PRNG einer virtuellen Maschine kopieren und erraten, sodass ein Angreifer mit diesen Werten und dem Aufruf von ssh-keygen das SSH-Schlüsselpaar ermitteln könnte.
Die Vortragsfolien illustrieren ab Seite 65, wie eine solche Attacke am Beispiel von Amazons EC2 aussehen könnte. Allerdings geben sich die Autoren nicht überzeugt, dass sie auch praktisch durchführbar wäre. (ck)
