Utilizare¶

Interfața /dev/random este considerată o interfață moștenită, iar /dev/urandom este preferată și suficientă în toate cazurile de utilizare, cu excepția aplicațiilor care necesită caracter aleatoriu în timpul pornirii inițiale; pentru aceste aplicații, trebuie să se utilizeze în schimb getrandom(2), deoarece se va bloca până când fondul de entropie este inițializat.

În cazul în care un fișier de semințe este salvat în timpul repornirii, așa cum se recomandă mai jos, fișierul de ieșire este securizat criptografic împotriva atacatorilor fără acces root local, imediat ce este reîncărcat în secvența de pornire și este perfect adecvat pentru cheile de sesiune de criptare a rețelei; (toate distribuțiile majore de Linux au salvat fișierul de semințe în timpul repornirii cel puțin din anul 2000). Deoarece citirile din /dev/random se pot bloca, utilizatorii vor dori, de obicei, să îl deschidă în mod neblocat (sau să efectueze o citire cu temporarizare) și să ofere un fel de notificare utilizatorului dacă entropia dorită nu este disponibilă imediat.

Configurare¶

Dacă sistemul dumneavoastră nu are deja create /dev/random și /dev/urandom, acestea pot fi create cu următoarele comenzi:

mknod -m 666 /dev/random c 1 8
mknod -m 666 /dev/urandom c 1 9
chown root:root /dev/random /dev/urandom

Atunci când un sistem Linux pornește fără prea multă interacțiune cu operatorul, fondul de entropie poate fi într-o stare destul de previzibilă. Acest lucru reduce cantitatea reală de zgomot din fondul de entropie sub valoarea estimată. Pentru a contracara acest efect, este utilă transmiterea informațiilor privind fondul de entropie pe parcursul opririlor și pornirilor. Pentru a face acest lucru, adăugați liniile la un script corespunzător care este executat în timpul secvenței de pornire a sistemului Linux:

echo "Se inițializează generatorul de numere aleatorii..."
random_seed=/var/run/random-seed
# Transmite o sămânță aleatorie de la o pornire la alta
# Încarcă și apoi salvează întregul fond entropic
if [ -f $random_seed ]; then


    cat $random_seed >/dev/urandom
else


    touch $random_seed
fi
chmod 600 $random_seed
poolfile=/proc/sys/kernel/random/poolsize
[ -r $poolfile ] && bits=$(cat $poolfile) || bits=4096
bytes=$(expr $bits / 8)
dd if=/dev/urandom of=$random_seed count=1 bs=$bytes

De asemenea, adăugați următoarele linii într-un script corespunzător care se execută în timpul închiderii sistemului Linux:

# Transmite o sămânță aleatorie de la oprire la pornire
# Salvează întregul fond de entropie
echo "Se salvează semințele aleatorii..."
random_seed=/var/run/random-seed
touch $random_seed
chmod 600 $random_seed
poolfile=/proc/sys/kernel/random/poolsize
[ -r $poolfile ] && bits=$(cat $poolfile) || bits=4096
bytes=$(expr $bits / 8)
dd if=/dev/urandom of=$random_seed count=1 bs=$bytes

În exemplele de mai sus, presupunem Linux 2.6.0 sau o versiune ulterioară, unde /proc/sys/kernel/random/poolsize returnează dimensiunea fondului de entropie în biți (a se vedea mai jos).

Interfețe „/proc”¶

Fișierele din directorul /proc/sys/kernel/random (prezent din Linux 2.3.16) oferă informații suplimentare despre dispozitivul /dev/random:

entropy_avail

Acest fișier doar pentru citire oferă entropia disponibilă, în biți. Acesta va fi un număr cuprins între 0 și 4096.

poolsize

Acest fișier indică dimensiunea fondului de entropie. Semantica acestui fișier variază în funcție de versiunile nucleului:

read_wakeup_threshold

Acest fișier conține numărul de biți de entropie necesar pentru trezirea proceselor care așteaptă entropie de la /dev/random. Valoarea implicită este de 64.

write_wakeup_threshold

Acest fișier conține numărul de biți de entropie sub care sunt trezite procesele care fac un select(2) sau poll(2) pentru acces în scris la /dev/random. Aceste valori pot fi modificate prin scrierea în fișiere.

uuid and boot_id

Aceste fișiere doar pentru citire conțin șiruri aleatorii precum 6fd5a44b-35f4-4ad4-a9b9-6b9be13e1fe9. Primul este generat din nou la fiecare citire, iar cel de-al doilea a fost generat o singură dată.

interfața ioctl(2)¶

Următoarele cereri ioctl(2) sunt definite în descriptorii de fișiere conectați fie la /dev/random, fie la /dev/urandom. Toate cererile efectuate vor interacționa cu fondul de entropie de intrare, având un impact atât asupra /dev/random, cât și asupra /dev/urandom. Capacitatea CAP_SYS_ADMIN este necesară pentru toate cererile, cu excepția RNDGETENTCNT.

RNDGETENTCNT

Obține numărul de entropie al fondului de intrare; conținutul va fi același cu cel al fișierului entropy_avail din cadrul proc. Rezultatul va fi stocat în numărul întreg indicat de argument.

RNDADDTOENTCNT

Mărește sau descrește numărul de entropie al fondului de intrare cu valoarea indicată de argument.

RNDGETPOOL

Eliminată în Linux 2.6.9.

RNDADDENTROPY

Adaugă o cantitate suplimentară de entropie la fondul de intrare, crescând numărul de entropie. Acest lucru diferă de scrierea în /dev/random sau /dev/urandom, care adaugă doar câteva date, dar nu mărește numărul de entropie. Se utilizează următoarea structură:

struct rand_pool_info {


    int    entropy_count;


    int    buf_size;


    __u32  buf[0];
};
    

Aici entropy_count este valoarea adăugată la (sau scăzută din) numărul de entropie, iar buf este memoria tampon de dimensiunea buf_size care se adaugă la fondul de entropie.

RNDZAPENTCNT, RNDCLEARPOOL

Anulează numărul de entropie al tuturor unităților și adaugă unele date de sistem (cum ar fi timpul real) la aceste unități.