/dev/random

3. 기타 운영 체제

`/dev/random<sup>영어</sup>`과 `/dev/urandom<sup>영어</sup>`은 솔라리스, NetBSD, Tru64 UNIX 5.1B, AIX 5.1, HP-UX 11i v2에서도 이용할 수 있다.^{[55][56][57][58][59]}

윈도우 NT에서는 비슷한 기능이 `ksecdd.sys`를 통해 제공되지만, `\Device\KsecDD`라는 특수 파일을 읽는 것은 유닉스에서처럼 동작하지 않는다. 유사난수 바이트를 발생하는 문서화된 방식은 CryptGenRandom과 RtlGenRandom이다. 윈도우 파워셸은 `Get-SecureRandom<sup>영어</sup>` cmdlet을 통해 암호학적으로 안전한 의사 난수 생성기에 접근할 수 있다.^[37]

도스에서는 해당 기능을 기본적으로 지원하지 않지만, `noise.sys`^[60]라는 타사 오픈 소스 드라이버가 있으며, 이를 통해 `RANDOM$`과 `URANDOM$`이라는 두 장치를 만들어내며 랜덤 데이터 접근을 위해 `/DEV/RANDOM$<sup>영어</sup>`, `/DEV/URANDOM$<sup>영어</sup>`으로도 접근할 수 있다.

4. EGD (Entropy Gathering Daemon)

OpenSSL, GNU Privacy Guard, Apache HTTP Server 등 /dev/random이 없는 시스템에서 EGD를 이용할 수 있다. EGD는 다양한 시스템 정보를 수집하여 엔트로피를 확보하고, 편향을 제거하여 암호학적 품질을 높이며, 유닉스 도메인의 소켓 경유 ('''/dev/egd-pool'''이 자주 사용됨) 또는 TCP 소켓 경유로 접근할 수 있도록 한다. 엔트로피 수집은 자식 프로세스를 정기적으로 fork하여 수행하며, 빈번하게 변화하고 예측할 수 없는 시스템의 다양한 속성 (CPU, I/O, 네트워크, 로그 파일 내용, 임시 디렉토리 내용 등)을 조사한다.

EGD와 난수 데이터를 필요로 하는 다른 프로그램과의 통신은 단순한 프로토콜로 이루어진다. 클라이언트는 EGD 소켓에 연결하고, 선두의 옥텟이 나타내는 명령에 따라 요청을 보낸다.

• command 0: 현재 사용 가능한 엔트로피량을 문의한다. EGD는 블록하지 않고 제공 가능한 난수 바이트 수를 빅 엔디안의 4바이트 숫자로 반환한다.
• command 1: 블록하지 않고 난수 바이트 열을 얻는다. 요청 메시지의 두 번째 바이트에서 난수 바이트 열의 바이트 수를 지정한다 (1에서 255). 요청된 만큼의 난수 바이트가 없는 경우, 블록하지 않고 제공할 수 있는 만큼의 난수 바이트 열을 반환한다 (0바이트인 경우도 있음). 응답 메시지의 첫 번째 바이트가 반환된 난수 바이트 수, 그 직후에 실제 난수 바이트 열이 이어진다.
• command 2: 블록하면서 난수 바이트 열을 얻는다. 요청 메시지의 두 번째 바이트에서 난수 바이트 열의 바이트 수를 지정한다. 요청된 만큼의 엔트로피가 없는 경우, 충분한 수집이 이루어질 때까지 기다린다. command 1과 달리 응답 메시지는 처음부터 난수 바이트 열로 시작하며, 그 길이는 항상 요청 메시지에서 지정된 것과 같다.
• command 3: 엔트로피 업데이트. 클라이언트로부터 EGD 내부 풀에 추가할 엔트로피를 제공한다. 명령의 다음 2바이트가 16비트 빅 엔디안 정수로 해석되어, 공급할 난수 비트 수를 나타낸다. 네 번째 바이트는 그 뒤에 따르는 실제 데이터의 길이를 바이트 수로 나타낸다. EGD는 이를 내부 풀에 혼합하며, 응답 메시지는 반환하지 않는다.

5. 비판 및 개선

다니엘 J. 번스타인은 2014년 1월, 리눅스가 다양한 엔트로피 소스를 혼합하는 방식에 대해 비판했다.^[18] 그는 한 엔트로피 소스가 다른 엔트로피 소스를 감시하고, 다른 소스의 무작위성을 무효화하기 위해 출력을 수정할 수 있는 공격을 설명했다. 번스타인은 공격자가 DSA와 ECDSA를 손상시키기 위해 RNG 출력의 처음 4비트를 0으로 만들 수 있다고 추정했다. 이는 리눅스가 단일 고품질 시드 대신 지속적으로 해시 함수를 다시 시드하기 때문에 가능하다고 보았다.^[18] 또한, 번스타인은 암호학적으로 안전한 의사 난수 생성기(CSPRNG)가 초기화되면 엔트로피 주입은 무의미하다고 주장했다.^[18]

2006년 3월, 구터만(Gutterman), 핑카스(Pinkas), 앤드 레이먼(Reinman)은 리눅스 난수 생성기에 대한 상세한 암호 분석을 발표하여 몇 가지 약점을 설명했다.^[10] 그들이 보고한 가장 심각한 문제는 임베디드 시스템이나 라이브 CD 시스템, 예를 들어 라우터 및 디스크리스 노드와 같은 시스템으로, 부팅 상태를 예측할 수 있고 환경에서 사용할 수 있는 엔트로피의 양이 제한적일 수 있다는 점이다. 비휘발성 메모리가 있는 시스템의 경우, 다음 재부팅 시 RNG 상태에 포함될 수 있도록 종료 시 RNG에서 일부 상태를 저장하는 것을 권장했다. 네트워크 트래픽이 주요 엔트로피 소스인 라우터의 경우, 재부팅 시 상태를 저장하면 "잠재적 공격자가 라우터를 처음 서비스에 투입할 때부터 모든 네트워크 트래픽을 도청하거나" 라우터의 내부 상태에 직접 접근해야 한다고 지적했다. 그들은 네트워크 트래픽을 원격에서 캡처할 수 있고 RNG를 사용하여 데이터 암호화를 위한 키를 생성할 수 있는 무선 라우터의 경우 이 문제가 특히 중요하다고 언급했다.

제이슨 A. 도넨펠트는 커널 5.17(커널 5.10.119로 백포팅)에서 리눅스 엔트로피 풀 인프라의 새로운 설계를 제시했다. 도넨펠드는 단일 4096비트 LFSR로 구성된 이전 풀이 (1) 공격자가 알려진 입력의 효과를 되돌릴 수 있으며, (2) 전체 풀의 상태가 유출되면 공격자가 풀의 모든 비트를 0으로 설정할 수 있다는 두 가지 공격에 취약하다고 보고했다. 더 빠르고 안전한 그의 새로운 설계는 256비트 풀을 혼합하기 위해 BLAKE2s 해시 함수를 사용한다.^[19]

참조

_[1] 웹사이트 random(7) - Linux manual page https://man7.org/lin[...] 2023-02-10
_[2] 웹사이트 /dev/random Is More Like /dev/urandom With Linux 5.6 - Phoronix https://www.phoronix[...]
_[3] 웹사이트 kernel/git/torvalds/linux.git - Linux kernel source tree https://git.kernel.o[...] kernel.org 2016-11-23
_[4] 웹사이트 Linux 5.17 Random Number Generator Seeing Speed-Ups, Switching From SHA1 To BLAKE2s - Phoronix https://www.phoronix[...]
_[5] 웹사이트 On Syllable's /dev/random https://randombit.ne[...] 2019-08-21
_[6] 웹사이트 /dev/random http://everything2.c[...] Everything2 2013-07-03
_[7] 문서 random Linux
_[8] 웹사이트 /dev/random and /dev/urandom implementation in Linux 1.3.39, function random_read_unlimited http://repo.or.cz/w/[...] 2013-11-21
_[9] AV media The plain simple reality of entropy https://media.ccc.de[...] 2015-12-29
_[10] 웹사이트 Analysis of the Linux Random Number Generator http://www.pinkas.ne[...] 2013-07-03
_[11] 웹사이트 Cryptography Users Guide http://processors.wi[...] Texas Instruments 2013-07-03
_[12] 웹사이트 kernel/git/torvalds/linux.git - Linux kernel source tree @ be4000bc4644d027c519b6361f5ae3bbfc52c347 "hwrng: create filler thread" https://git.kernel.o[...] 2016-10-18
_[13] 웹사이트 kernel/git/torvalds/linux.git - Linux kernel source tree @ 34679ec7a0c45da8161507e1f2e1f72749dfd85c "virtio: rng: add derating factor for use by hwrng core" https://git.kernel.o[...] 2016-10-18
_[14] 웹사이트 "??" http://www.vanheusde[...] 2016-10-23
_[15] 웹사이트 Google Code Archive for dieharder https://code.google.[...] 2016-10-18
_[16] 웹사이트 The Marsaglia Random Number CDROM including the Diehard Battery of Tests of Randomness http://stat.fsu.edu/[...] 2016-10-23
_[17] 웹사이트 rng-tools https://www.gnu.org/[...] 2016-10-23
_[18] 웹사이트 cr.yp.to: 2014.02.05: Entropy Attacks! http://blog.cr.yp.to[...] 2014-02-05
_[19] 웹사이트 "[PATCH 5.15 038/145] random: use computational hash for entropy extraction" https://lore.kernel.[...]
_[20] 문서 random FreeBSD
_[21] 웹사이트 random(4) https://man.dragonfl[...] 2024-06-15
_[22] 웹사이트 A comparison of /dev/random speed on Linux and BSD https://ianix.com/pu[...] 2024-06-15
_[23] 문서 random OpenBSD
_[24] 웹사이트 libc/crypt/arc4random.c http://bxr.su/OpenBS[...] 2015-01-13
_[25] 웹사이트 src/etc/MAKEDEV.common https://github.com/o[...] 2017-11-14
_[26] 웹사이트 libc/gen/arc4random.c http://bxr.su/NetBSD[...] 2015-01-13
_[27] 웹사이트 Apple Platform Security https://support.appl[...] Apple Inc.
_[28] 웹사이트 xnu-1456.1.26/bsd/dev/random https://opensource.a[...] Apple Inc. 2016-10-18
_[29] 문서 random Darwin
_[30] 웹사이트 iOS Security https://www.apple.co[...] Apple Inc. 2015-05-27
_[31] 웹사이트 Solaris Random Number Generation https://blogs.oracle[...] 2022-04-30
_[32] 문서 rnd NetBSD
_[33] 웹사이트 random(4) http://h30097.www3.h[...] 2013-07-03
_[34] 웹사이트 random and urandom Devices http://publib.boulde[...] 2013-07-03
_[35] 웹사이트 HP-UX Strong Random Number Generator http://software.hp.c[...] 2013-07-03
_[36] 웹사이트 AIX 5.2 /dev/random and /dev/urandom devices http://lists.gnupg.o[...] Lists.gnupg.org 2003-04-25
_[37] 웹사이트 Get-SecureRandom (Microsoft.PowerShell.Utility) - PowerShell https://learn.micros[...] 2024-06-16
_[38] 웹사이트 How does Cygwin's /dev/random and urandom work? https://www.linuxque[...] 2018-03-09
_[39] Youtube random(4) https://linuxjm.osdn[...] JM Project
_[40] 웹사이트 /dev/random Is More Like /dev/urandom With Linux 5.6 https://www.phoronix[...] 2024-11-25
_[41] 논문 Analysis of the Linux Random Number Generator http://www.pinkas.ne[...] 2006-03-06
_[42] 웹사이트 "「Linuxカーネル3.17」がリリース" https://mag.osdn.jp/[...] OSDN 2016-05-08
_[43] 웹사이트 random: introduce getrandom(2) system call https://lwn.net/Arti[...] LWN.net 2016-05-08
_[44] 웹사이트 random(0) - OpenBSD 4.4 https://man.openbsd.[...] 2021-02-23
_[45] 웹인용 Linux Kernel drivers/char/random.c comment documentation @ 1da177e4 https://git.kernel.o[...] 2005-04-16
_[46] 웹인용 On Syllable's /dev/random http://www.randombit[...] 2008-12-09
_[47] 웹인용 /dev/random http://everything2.c[...] Everything2 2003-06-08
_[48] 웹인용 /dev/random and /dev/urandom implementation in Linux 1.3.39, function random_read_unlimited http://repo.or.cz/w/[...] 1995-11-04
_[49] 문서 random Linux
_[50] 웹인용 Manual Pages: arc4random(3) http://www.openbsd.o[...] 2014-05-01
_[51] 웹인용 arc4random.c http://cvsweb.openbs[...] 2013-10-01
_[52] 웹인용 libc/gen/arc4random.c http://bxr.su/NetBSD[...] 2014-11-16
_[53] 문서 https://opensource.a[...]
_[54] 문서 https://www.apple.co[...]
_[55] 웹인용 A brief history of /dev/random in Solaris https://blogs.oracle[...] 2005-05-20
_[56] 문서 rnd NetBSD
_[57] 웹인용 random(4) http://h30097.www3.h[...] 1999-09-19
_[58] 웹인용 random and urandom Devices http://publib.boulde[...] 2010-03-15
_[59] 웹인용 HP-UX Strong Random Number Generator http://software.hp.c[...] 2004-07-23
_[60] 웹인용 Doug Kaufman's Web Site - DOS ports http://www.rahul.net[...] 2006-11-02