Сегодня в репозитории Linux random.git поставлен в очередь для кода/dev/random и/dev/urandom поддержка использования BLAKE2, а не SHA1 при хешировании пула энтропии. Это, в свою очередь, не только повышает безопасность, но и увеличивает производительность.
Для Linux 5.17 есть несколько приятных «случайных» улучшений. Джейсон Доненфельд, наиболее известный своей работой над созданием WireGuard, также является случайным сопровождающим ядра Linux. В очереди сегодня было изменение на удаление Использование SHA1 из кода random.c и вместо BLAKE2.
Доненфельд отметил в патче: «BLAKE2s, как правило, быстрее и, безусловно, более безопасен, чем SHA1, который действительно сильно сломан. Кроме того, текущая конструкция в RNG не использует полную функцию SHA1. , как указано, и позволяет перезаписывать IV выходными данными RDRAND недокументированным способом, даже в том случае, когда RDRAND не установлен на «доверенный», что означает потенциальные злонамеренные варианты IV. А его короткая длина означает, что сохраняется только половина его secret при обратной передаче в микшер дает нам только 2 ^ 80 бит прямой секретности. Другими словами, не только выбор хеш-функции устарел, но и ее использование не очень хорошо”.
Переход на использование BLAKE2 сделает работу более безопасной и быстрой. Первоначальное заполнение на ноутбуке Intel с этим изменением оказалось примерно на 131% быстрее.
Random.git также увидел другие исправления, поставленные сегодня в очередь перед этими изменениями, которые дебютируют в предстоящем окне слияния Linux 5.17.