आभासी मशीनों पर प्रवेश

जैसा कि आप जानते होंगे कि "सामान्य" पीसी पर वर्चुअल मशीन पर एन्ट्रापी बनाना उतना आसान नहीं है। वर्चुअल मशीन पर gpg-key जेनरेट करने में कुछ समय लग सकता है, यहां तक ​​कि सही टूल भी।

वहाँ बहुत अधिक क्रिप्टो फ़ंक्शन हैं जो कि जीआरपी के रूप में इतने एन्ट्रापी जागरूक नहीं हैं।

तो क्या कोई कह सकता है कि वर्चुअल मशीन पर क्रिप्टोग्राफी कम सुरक्षित है?

सबसे पहले, मुझे यह कहने दो कि मैं सुरक्षा विशेषज्ञ नहीं हूँ।

जैसा कि gpg कुंजी निर्माण /dev/randomयादृच्छिक संख्या जनरेटर के रूप में उपयोग कर रहा है, यह एक आभासी मशीन पर उतना ही सुरक्षित है, जितना कि एक वास्तविक मशीन पर।
/dev/randomएक अवरोधक उपकरण है, और उपलब्ध राशि से परे किसी भी यादृच्छिकता को वितरित करना बंद कर देगा। आप अपनी उपलब्ध यादृच्छिकता की जाँच कर सकते हैं
cat /proc/sys/kernel/random/entropy_avail(लगभग 2000 होनी चाहिए )

एक वर्चुअल्माइन पर उपलब्ध रैंडमनेस वास्तव में एक वास्तविक मशीन की तुलना में कम है, हार्डवेयर की कमी के कारण।
आप एन्ट्रापी को बढ़ा सकते हैं जैसे कि एन्ट्रापी कीज़ लगाकर और / या किसी गैर-प्रतिष्ठित मशीन पर स्विच करना।

आभासी मशीनों पर एन्ट्रापी पर एक अच्छा लेख उपलब्ध है। दुर्भाग्य से लेख के दोनों भाग अभी केवल Google कैश में उपलब्ध हैं।

एंट्रॉपी का आगे किसी भी ssl / tls एन्क्रिप्शन पर प्रभाव पड़ता है। तो, उपयोग /dev/urandomया किसी भी सही मायने में यादृच्छिक स्रोत का वास्तव में आपके अनुप्रयोगों की सुरक्षा पर कोई प्रभाव नहीं पड़ता है ।

/dev/urandomसच्ची यादृच्छिकता की तुलना में कितना विश्वसनीय है;
मैं तुम्हें वहाँ एक सभ्य जवाब देने में सक्षम नहीं हूँ, माफ करना।

इस विषय के बारे में अधिक जानकारी के लिए आप http://security.stackexchange.com पर जा सकते हैं और / या पढ़ सकते हैं। ये पद

हां, ज्यादातर परिस्थितियों में क्रिप्टोग्राफी वर्चुअल मशीन पर "वास्तविक" सर्वर की तुलना में कम सुरक्षित है।

उत्तरार्द्ध कम से कम कुछ वास्तविक हार्डवेयर से एन्ट्रॉपी इकट्ठा कर सकता है। वास्तव में, एचडब्ल्यू के एक टुकड़े का संचालन है - ज्यादातर मामलों में - कुछ भौतिक घटना के लिए बाध्य है, जो हमेशा छोटे बदलावों के अधीन होता है, सभी खातों द्वारा यादृच्छिक। चूंकि सर्वर आमतौर पर एक रीसेट के बिना बहुत लंबे समय तक चलते हैं, जिसके परिणामस्वरूप एंट्रॉपी पूल अंततः पर्याप्त गुणवत्ता वाला होगा।

वर्चुअल मशीन तीन समस्याओं से ग्रस्त हैं।

1. जो हार्डवेयर वे देखते हैं वह वास्तविक नहीं है, और इसलिए यह शायद ही किसी भौतिक घटना से प्रभावित होता है। वे बहुत धीमे तरीके से एन्ट्रॉपी एकत्र करने में सक्षम होंगे।
2. वीएम वास्तविक सर्वरों की तुलना में अधिक बार रीसेट होते हैं और उनके पास पर्याप्त एन्ट्रॉपी इकट्ठा करने का समय भी नहीं हो सकता है (यही कारण है कि शट डाउन होने पर वर्तमान एन्ट्रापी स्थिति को बचाने के लिए अच्छा है, और पुनरारंभ होने पर एन्ट्रापी पूल को खिलाने के लिए इसका उपयोग करें)।
3. जबकि एक वास्तविक सर्वर को यह निर्धारित करने का कुछ मौका हो सकता है कि यह खराब एंट्रॉपी पूल के साथ कब व्यवहार कर रहा है, वर्चुअल मशीन इंप्रेशन पूल के तहत अधिक आसानी से संचालित होगी (क्योंकि यह एचडब्ल्यू से एकत्र किया गया था, लेकिन एचडब्ल्यू है यह जाने बिना कि वास्तविक नहीं), जबकि यह वास्तव में खराब है।

सबसे अच्छा समाधान यह है कि वीएम को बस त्यागने और यह महसूस करने के लिए कि एचडब्ल्यू यह देखता है कि एन्ट्रापी का एक बुरा स्रोत है। फिर, उच्च-गुणवत्ता वाली एंट्रोपी ( एंट्रॉपी ब्रोकर देखें ) के वितरण के लिए एक स्थानीय नेटवर्क सेवा की व्यवस्था करें । "एन्ट्रापी सर्वर" जेनेरिक HW से यादृच्छिकता निकाल सकता है (जिस स्थिति में इसे पर्याप्त समय तक काम करना चाहिए, और इसमें एक सभ्य ओएस होना चाहिए) या विशिष्ट क्रिप्टो HW (एक TPM चिप, एक VIA पैडलॉक चिप, आदि) से होना चाहिए।

इस तरह की सेवा का उपयोग करने वाला एक वीएम "वास्तविक" सर्वर की तुलना में और भी अधिक सुरक्षित (क्रिप्टोग्राफिक-वार) हो सकता है, जिसने अभी बूट किया है।