Inserimento casuale del mouse rispetto all'input casuale della tastiera rispetto a CryptoAPI

2

Chiedo questa domanda perché in realtà sta iniziando a infastidirmi per spostare il mio mouse fino a quando " generated bits : 256 " appare ogni volta che voglio generare una password su Keepass e mi chiedo, perché il software mi richiede questo noioso e compito completamente non casuale (gli umani non sono casuali, anche io posso vedere che ho un pattern quando muovo il mio mouse in questa piccola casella quadrata, di solito down,up,left,right,repeat ).

Quindi la mia domanda è: se sono davvero obbligato a usare input del mouse o input da tastiera che sono più casuali? Supponiamo che le persone siano pigre e che ci sia un pattern sull'input del mouse e sull'ingresso della tastiera (le persone sono pigre, non inseriranno simboli o caratteri speciali solo per lo più nella A-Z)

E perché Keepass non può fare affidamento solo su Windows CryptoAPI ? Cosa c'è che non va ?

    
posta Freedo 22.10.2015 - 18:25
fonte

2 risposte

2

Bollire i dibattiti RNG (generatori di numeri casuali): tutto dipende dal modo in cui il sistema e / o il software che si sta utilizzando desidera utilizzare il pool di entropia del numero casuale.

La maggior parte dei sistemi si affida al kernel del sistema operativo per mantenere un pool con entropia sufficiente a fornire tutte le operazioni RNG. Se l'hardware è disponibile, verrà utilizzato il rpm del disco, le operazioni di interruzione e persino i cambiamenti termici nella CPU (Haswell). Nel caso del tuo pacchetto software che vuole movimenti del mouse per generare le chiavi, è molto probabile che semina il proprio pool di entropia perché non si fida necessariamente del sistema operativo.

C'è molta discussione sui limiti del RNG in ambienti virtualizzati (sebbene molti siano stati domati con una buona ricerca), ma nel caso del software chiedesse manualmente "movimenti", il movimento fornito da un essere umano usando una tastiera o un mouse genererà abbastanza dati casuali (non solo il movimento ma le variabili I / O) per compensare le insufficienze nel pool di entropia del sistema operativo. Ciò che il software sta mostrando non è l'entropia effettiva e, a meno che non sia stato scritto da un bambino di 4 anni, il movimento del mouse genererà un sacco di entropia I / O per soddisfare la maggior parte dei generatori di numeri pseudocasuali che cadono poco prima della conformità NIST / FIPS.

Questo è il punto in cui TrueCrypt ha fallito perché, mentre permettevano all'hardware di gestire la gestione di entropia, limitavano i loro intervalli di numeri primi, consentendo una facile congettura dei numeri usati per keygen (da ciò che ho letto).

Ha senso?

    
risposta data 22.10.2015 - 18:44
fonte
1

Potresti avere modelli che sembrano prevedibili, ma ti stai spostando sempre la stessa quantità ogni volta - in microsecondi? La semplice risposta è che sei essenzialmente casuale, alla risoluzione richiesta dal generatore che ti userà come seme.

I computer dovrebbero essere in grado di utilizzare la funzione di crittografia per generare numeri casuali, ma cosa succede se è stato compromesso su quella macchina ...

lo sapresti?

Utilizzare i tuoi movimenti ti protegge da quello scenario.

    
risposta data 22.10.2015 - 18:38
fonte

Leggi altre domande sui tag