/ dev / random nel cloud EC2

Question

/ dev / random nel cloud EC2

#1 da (2 voti)

4

è /dev/random di bene in AWS EC2 da utilizzare per creare una chiave condivisa che verrà passata su un canale sicuro? sono preoccupato che un'istanza lanciata non abbia molta entropia per cominciare. e se tento di usarlo per un paio di minuti per ottenere ritardi EBS casuali per più entropia?

modifica :

non effettuerò l'accesso a queste istanze. un'istanza genererà una chiave e la posizionerà (in esadecimale) in un tag. un'altra istanza otterrà la chiave da quel tag e configurerà una VPN tra di loro. forse c'è un modo per usare PKC per questo sebbene il percorso da / per i tag sia link , di cui AWS dipende per le password di accesso.

edit2 :

Immagino che i tempi per accedere all'API EC2 possano essere un'altra fonte di entropia.

linux cloud-computing entropy

posta Skaperen 26.05.2015 - 12:01

fonte

1 risposta

Leggi altre domande sui tag linux cloud-computing entropy

DMZ e server di posta Scopo per "Token One Time Use"

score 2 · Accepted Answer

Il potenziale problema con macchine cloud e casualità è Clonazione VM ; vedi questo . Qualsiasi sistema Linux decente sarà in grado di produrre casualità di alta qualità da /dev/urandom in qualsiasi momento dopo l'avvio, indipendentemente dal fatto che si trovi nel cloud o meno. Tuttavia, se una VM è clonata, le due macchine inizieranno allo stesso stato interno e non vi è alcun meccanismo di sicurezza che possa essere incluso nel sistema operativo per quello, perché, per definizione, il SO guest non è a conoscenza della clonazione .

È tecnicamente fattibile, per Amazon, spingere nuove casualità in ogni istanza appena clonata (è sufficiente aggiornare il "file seme" nel clone). Non so se lo fanno. Se non lo fanno (o se non riesci a trovare qualche documentazione scritta che dice di farlo), allora potresti dover fare il seeding da solo. Anche se semplicemente aspettare alcuni minuti di attività della rete dovrebbe iniettare abbastanza entropia, è più veloce e probabilmente più sicuro forzarlo da solo. Supponendo che tu stia accedendo all'istanza Amazon EC2 tramite SSH dal tuo laptop / desktop e che il tuo laptop / desktop usi anche Linux, allora diventa una semplice questione di farlo una volta:

dd if=/dev/urandom bs=20 count=1 | ssh TheEC2MachineName 'cat > /dev/random'

e voilà! 20 nuovi byte di strong casualità aggiunti al pool di entropia VM. Puoi quindi procedere con tutte le tue cripto sulla VM immediatamente.