Bild: Cloudflare, League of Entropi
Idag, Cloudflare meddelat lanseringen av en ny public service som kallas League av Entropi som kommer att generera en ström av slumptal, som företag, myndigheter, eller ensam utvecklare kan använda som slumpmässig indata inne i deras program.
Tjänsten låter kanske dumt för en icke-tekniska användare, men slumpmässiga nummer är viktigare än de flesta tror.
Slumptal i hjärtat av modern kryptografi, och att ha tillgång till en källa av slumpen är avgörande för säkerheten för alla våra program.
En förutsägbar källa av slumptal kan äventyra en ansökan genom att låta hotet aktörer att matematiskt bestämma kryptografiska nycklar och lösenord som har skapats för användare, eller på bestämda tider.
Till exempel, i början av 2010-talet, en Iowa man iscensatt ett av de mest komplexa heists av en offentlig lotteri i USA: s historia genom manipulering med en slumpmässighet beacon ‘ s algoritm som genererar slumpmässiga nummer, vilket tillåter honom att bestämma det vinnande siffror på exakt gånger i framtiden.
Att ha möjlighet att få tillgång till en säker slumpmässigt nummer som ledstjärna är avgörande för utvecklingen av en säker applikation. De flesta program som vanligtvis bygger på den underliggande enheten för att ge denna källa av slumpmässighet, kan det vara en Android smartphone eller något avancerat som en Linux-server.
Dock, enda ursprung fyrar av entropi är farliga, eftersom enheter kan äventyras och slumpmässighet källa manipuleras.
Ligan av Entropi är född
I det förflutna, det har gjorts ansträngningar för att starta och köra distribuerade källor av slumpmässighet, alla med olika grader av framgång.
Idag, Cloudflare och dess partners lanserar League av Entropi, en fem-server-nätverk som kommer fram och göra tillgängliga säkra strömmar av slumptal.
Alla fem servrar kommer att generera sin egen del av en större ström av slumptal och pool det tillsammans på en offentlig tjänst, tillgänglig för alla.
“Detta globala nätverk av servrar genererar slumpmässighet säkerställer att även om ett fåtal servrar är offline, beacon fortsätter att producera nya nummer med hjälp av de återstående online-servrar,” Cloudflare sade i dag.
“Även om en eller två av de servrar eller deras entropi källor skulle äventyras, resten kommer fortfarande att se till att de gemensamt producerade entropi är helt oförutsägbar och unbiasable.”
Fem servrar över hela världen
Deltagande i detta projekt är Cloudflare, Protokoll Labs forskare Nicolas Gailly, Universitetet i Chile, École Polytechnique Fédérale de Lausanne (EPFL), och Kudelski Säkerhet.
De fem organisationer kommer att köra fem servrar, alla med mycket olika källor av entropi — allt från lava lampor seismiska skakar — att bilda kollektiv League av Entropi nätverk.
Vid lanseringen-tid, League of Entropi tjänsten kommer att bestå av:
- Cloudflare LavaRand: LavaRand källor hennes hög entropi från Cloudflare vägg av lava lampor på vårt Huvudkontor i San Francisco. Oförutsägbart flöde av “lava” inuti lampor används som en ingång till en kamera matas in i ett CSPRNG (Kryptografiskt Säkra rad slumpmässiga Nummer Generator) som genererar slumpmässigt värde.EPFL är URand: URand kraft kommer från den lokala slumpmässighet generator närvara på varje dator på /dev/urandom. Slumpmässighet indata samlas in från insatsvaror såsom tangentbord pressar, musklick, nätverkstrafik osv. URand buntar dessa slumpmässiga insatsvaror för att producera en kontinuerlig ström av slumpmässighet. UChile s Seismiska Flicka: Seismiska Flicka utdrag super kontrollerbara slumpmässighet från fem källor har frågat varje minut. Dessa källor är: seismiska mätningar av vibrationer och jordbävningar i Chile; en ström från en lokal radiostation, ett urval av Twitter-inlägg; data från Ethereum blockchain, och deras egna off-the-shelf RNG kort. Kudelski Säkerhet är ChaChaRand: ChaChaRand använder en CRNG (Kryptografiska Random Number Generator) som bygger på ChaCha20 stream cipher.Protokoll Labs InterplanetaryRand: InterplanetaryRand använder kraften av entropi för att se protokollet säkerhet över tid och med hjälp av omgivningsbuller och Linux PRNG, som kompletteras av CPU-köps slumpmässighet (RdRand).
Cloudflare hoppas att den nya tjänsten skulle kunna användas för lotterier, underteckna val revisioner, blockchains, och genom regelbundna användare, som söker en verkligt slumpmässig och unikt lösenord.
Ett tekniskt djup-dyk in i hur League av Entropi fungerar är tillgängliga på Cloudflare blogg. Den nya tjänsten är inte exklusivt, och Cloudflare sagt att andra organisationer kan gå med.
Du kan se den ström av slumptal på League of Entropi hemsida.
Relaterade it-säkerhet täckning:
Tyskland: Bakdörr finns i fyra smartphone-modeller, 20,000 användare infectedGoogle expanderar androids inbyggda säkerhet nyckeln till iOS devicesFor två timmar, en stor del av den mobila trafiken omdirigeras via ChinaAncient ICEFOG APT malware upptäckt igen i ny våg av attacksCBP säger hackare stal registreringsskylt och resenärernas photosA fjärdedel av stora Cms använder det gamla MD5 som standard hashning av lösenord systemet iOS-utvecklare som fortfarande inte att bygga end-to-end-kryptering i apps TechRepublicDe bästa identitetsstöld bevakningstjänster för 2019 CNET
Relaterade Ämnen:
Servrar
Säkerhet-TV
Hantering Av Data
CXO
Datacenter