LavaRand - The Entropy Wall - Zufallszahlen zur Verschlüsselung wirklich zufällig erzeugen - mit einer Wand von Lavalampen - beim Content delivery network Cloudflare

30.11.2017 19:13:06, Jürgen Auer, keine Kommentare

Der Content delivery network - Anbieter Cloudflare hat ein Problem: Über ihn läuft etwa 10 Prozent des gesamten Internet-Traffics. Der ist zu verschlüsseln.

Aber: Für Verschlüsselungen braucht man Zufallszahlen. Immer wieder neu, in großer Anzahl. Nur: Wenn Computer Zufallszahlen mit "einfachen Techniken" berechnen, dann sind diese womöglich gar nicht mehr so zufällig. So daß man aus einigen Zufallszahlen die nächsten errechnen oder zumindest brauchbar genau schätzen kann. Und schon ist die Verschlüsselung gefährdet. Zufallszahlen müssen also nicht nur zufällig, sondern auch unvorhersagbar sein (unpredictable).

Deshalb nutzt Cloudflare zur Generierung von Zufallszahlen: Lavalampen. Und nicht nur eine oder vielleicht fünf. Stattdessen kommt eine ganze Schrankwand von Lavalampen zum Einsatz. Und diese "LavaRand" steht auch nicht irgendwo versteckt in einer hinteren Kammer. Sondern ist in der Lobby vom San Francisco Office aufgebaut.
.

These are the Lava Lamps that Help Keep the Internet Secure. Seriously

http://tribunist.com/technology/these-are-the-lava-lamps-that-help-keep-the-internet-secure-seriously/

Der Originalartikel im Cloudflare-Blog mit diversen technischen Details: LavaRand in Production: The Nitty-Gritty Technical Details

https://blog.cloudflare.com/lavarand-in-production-the-nitty-gritty-technical-details/

Eine vereinfachte Version ohne zuviel Technik: Randomness 101: LavaRand in Production

https://blog.cloudflare.com/randomness-101-lavarand-in-production/

.
Das Prinzip: Eine Kamera macht regelmäßig Aufnahmen. Jedes Bild unterscheidet sich von anderen Bildern, weil bereits eine Lavalampe extrem zufällige Bilder produziert. Erst recht gilt das für so eine Schrankwand von Lavalampen.

Die Wirkung: Die dort eingesetzten Verschlüsselungen sind "härter" als so manch eine andere Verschlüsselung, welche die aktuelle Uhrzeit und das Datum sowie diverse Hardwaremerkmale nutzen.

Denn bei diesen gibt es das "natürliche Problem", daß jeder Algorithmus aus demselben Input denselben Output produziert. Sehr schlecht für "richtige Zufallszahlen", noch schlechter für die darauf basierende Verschlüsselung. Computer sind eben gut, sich vorhersagbar = predictable zu verhalten.

Nick Sullivan, head of cryptography at Cloudflare:

> “Cloudflare was one of the first companies to provide free SSL encryption for websites, so the connection between your web browser and the website you are going to is fully encrypted and invisible for eavesdroppers to be able to look at.”

Cloudflare war eine der ersten Unternehmen, die kostenlose SSL-Verschlüsselung angeboten haben.

Das Video direkt auf YouTube: The Lava Lamps That Help Keep The Internet Secure

https://www.youtube.com/watch?v=1cUUfMeOijg

> At the headquarters of Cloudflare, in San Francisco, there's a wall of lava lamps: the Entropy Wall. They're used to generate random numbers and keep a good bit of the internet secure: here's how.

Praktisch wird die LavaRand - Wand genutzt, um den dort eingesetzten Servern eine weitere Entropiequelle zur Verfügung zu stellen. Die Server nutzen zunächst die Entropiequellen, die eben so üblich sind - etwa Datum/Uhrzeit, Temperatursensoren und andere Merkmale. Aber der Strom ständig neuer Bilder liefert nochmals eine neue Entropie. Die zusätzlich verwendet werden kann, um die Verschlüsselung unvorhersagbarer zu machen.

Ganz neu ist die Idee ebenfalls nicht. Silicon Graphics hatte sich das 1996 patentieren lassen, das Patent ist inzwischen ausgelaufen. Davon hatte sich Cloudflare inspirieren lassen.

Interessant daran ist, daß als Datenquelle nicht etwas serverinternes genutzt wird. Je mehr gleichartige Server es gibt, umso eher kann das zu Problemen führen. Sondern daß die "Offline-Welt" draußen als Entropiequelle verwendet wird.

*
* (wird nicht angezeigt)
Die Erläuterungen zum Datenschutz habe ich gelesen und stimme diesen zu.