가상 머신의 엔트로피

아시다시피 "일반"PC처럼 가상 머신에서 엔트로피를 생성하는 것이 쉽지 않다는 것을 알고 있습니다. 가상 머신에서 gpg 키를 생성하려면 올바른 도구를 사용하더라도 다소 시간이 걸릴 수 있습니다.

gpg만큼 엔트로피를 인식하지 못하는 훨씬 더 많은 암호화 기능이 있습니다.

그렇다면 가상 머신에서 암호화가 덜 안전하다고 말할 수 있습니까?

우선, 나는 전혀 보안 전문가가 아니라고 말하겠습니다.

gpg 키 생성은 /dev/random난수 생성기로 사용 되므로 실제 시스템과 마찬가지로 가상 시스템에서도 안전합니다.
/dev/random차단 장치이며 사용 가능한 양을 초과하는 임의성 제공을 중지합니다. 사용 가능한 임의성을 확인할 수 있습니다
cat /proc/sys/kernel/random/entropy_avail(약 2000 정도 여야 함 ).

가상 머신의 경우 하드웨어에 대한 액세스 권한이 없기 때문에 사용 가능한 임의성이 실제 머신보다 실제로 낮습니다. 엔트로피 키 및 / 또는 스위치를 가상화되지 않은 컴퓨터에
적용하여 엔트로피를 증가시킬 수 있습니다.

가상 머신의 엔트로피에 대한 유용한 기사가 있습니다. 불행히도 기사의 두 부분 은 현재 Google 캐시에서만 사용할 수 있습니다.

엔트로피는 모든 SSL / TLS 암호화에 추가 영향을 미칩니다. 따라서, /dev/urandom또는 임의의 소스 를 사용하는 것은 실제로 애플리케이션의 보안에 영향 을 미칩니다 .

/dev/urandom진정한 무작위성에 비해 얼마나 신뢰할 수 있는가 ?
나는 당신에게 괜찮은 대답을 줄 수 없습니다. 죄송합니다.

이 주제에 대한 자세한 내용은 http://security.stackexchange.com 을 방문 하거나 예를 들어 읽을 수 있습니다. 이 포스트

그렇습니다. 대부분의 상황에서 암호화는 "실제"서버보다 가상 컴퓨터에서 덜 안전합니다.

후자는 최소한 실제 하드웨어에서 엔트로피를 수집 할 수 있습니다. 실제로, HW의 작동은 대부분의 경우 물리적 현상에 국한되어 있으며, 모든 현상에 따라 무작위로 변하는 작은 변화가 항상 있습니다. 서버는 일반적으로 재설정없이 오랜 시간 동안 실행되므로 결과 엔트로피 풀의 품질은 결국 충분합니다.

가상 머신에는 세 가지 문제가 있습니다.

1. 그들이 보는 하드웨어는 실제가 아니므로 물리적 현상에 의해 거의 영향을받지 않습니다. 그들은 훨씬 느린 방식으로 엔트로피를 수집 할 수있을 것입니다.
2. VM은 실제 서버보다 훨씬 더 자주 재설정되므로 충분한 엔트로피를 수집 할 시간이 없을 수도 있습니다 (종료시 현재 엔트로피 상태를 저장하고 다시 시작할 때 엔트로피 풀에 공급하는 것이 좋습니다).
3. 실제 서버 가 불량 엔트로피 풀을 처리 할시기를 결정할 수 있는 기회가 있지만 가상 머신은 엔트로피 풀이 양호하다는 인상 아래 더 쉽게 작동 할 수 있습니다 (HW에서 수집 되었기 때문에 HW가 실제로는 나쁘지만 실제로는 나쁩니다.

가장 좋은 해결책은 VM이 단순히 포기하고 HW가 나쁜 엔트로피 소스라는 것을 깨닫게하는 것입니다. 그런 다음 고품질 엔트로피를 배포 할 로컬 네트워크 서비스를 마련하십시오 ( 엔트로피 브로커 참조 ). "엔트로피 서버"는 일반 HW (이 경우 충분한 시간 동안 작동해야하고 적절한 OS가 있어야 함) 또는 특정 암호화 HW (TPM 칩, VIA Padlock 칩 등)에서 임의성을 추출 할 수 있습니다.

이러한 서비스를 사용하는 VM 은 방금 부팅 한 "실제"서버보다 더 안전합니다 (암호 방식).