本文档介绍了我们如何测试用于 是 Zircon CPRNG 的种子。
理论问题
大致来说,有时候很容易分辨出一串流数字, 而不是随机生成的。我们无法保证 数字是真正随机的。先进的 希望能发现任何可利用的弱点。
当有随机性特征的数据时, 不是完全随机的数字(当它们的分布不均匀时,或者 序列中数字之间的相关性有限时)。答 不完美的随机数流仍然包含一些随机性, 也很难判断它的随机性
出于我们的目的,该数字可以很好地衡量流中包含多少随机性 一个不完美的随机数字就是最小熵。这与 Shannon 熵用于信息理论,但始终采用较小的值。 最小熵控制我们能够从 熵来源;比如 https://en.wikipedia.org/wiki/Randomness_extractor#Formal_definition_of_extractors
从实际的角度来看,我们可以使用美国 NIST 中描述的测试套件 SP800-90B,用于分析熵源的随机样本。原型 可从 https://github.com/usnistgov/SP800-90B_EntropyAssessment.该套件采用了 样本数据文件(例如,1MB 的随机字节)作为输入。此功能的优点是 可以处理不完美的 RNG,而且它会报告 随机数据流的每个字节包含多少最小熵。
测试未处理数据的重要性
从熵源提取熵后, 我们要将其混合到 CPRNG “安全”这种方法基本上消除了可检测的相关性, 来自熵的原始随机字节流中的分布缺陷 来源。在生成随机数字序列时, 但在测试时,我们必须避免这种混合和处理阶段 信息。
举一个明显的例子,说明为什么在想要测试未处理的数据时 测试实际的熵源,这是一个实验。它应该在任意一个 安装了 OpenSSL 的现代 Linux 系统。
head -c 1000000 /dev/zero >zero.bin
openssl enc -aes-256-ctr -in zero.bin -out random.bin -nosalt -k "password"
该方法从 /dev/zero 中占用 100 万个字节,通过 AES-256 对它们进行加密,以 密码安全系数低且不含盐(当然,这是一个可怕的加密方案!)。事实上 输出结果好像是优质的随机数据, 但这也显示了根据模型估算熵内容的风险, 处理的数据:一起,/dev/zero 和“password”提供大约 0 位的熵, 但我们的测试对结果数据更加乐观!
如需更具体的与锆石相关的示例,请考虑抖动熵(RNG http://www.chronox.de/jent/doc/CPU-Jitter-NPTRNG.html)。 抖动根据 CPU 时间的变化绘制熵。未处理的数据 是运行某一 CPU 密集型和内存密集型代码块所需的时间 (以纳秒为单位)。当然,这些时间数据并非完全随机: 以平均值为中心,但有一些波动。每个 单个数据样本可能是数位(例如 64 位整数),但只有 贡献不超过 1 位的最小熵。
完整的抖动 RNG 代码需要几个原始时间数据样本,
将它们处理为单个随机输出(通过 LFSR 转换,
其他内容)。如果我们测试处理后的输出,会发现明显的随机性
从实际的时间变化和 LFSR 中选择。我们要重点介绍的
因此我们应该测试原始时间样本。请注意,
您可以通过
kernel.jitterentropy.raw
命令行。
质量测试实现
如上所述,NIST 测试套件将充满随机字节的文件作为 输入。我们在锆石系统(可能是较薄的紫红色)上收集这些字节 然后通常将它们导出到功能更强大的工作站 测试套件
启动时测试
系统会在启动期间启动用户空间之前读取我们的一些熵源。
为了在真实环境中测试这些熵源,我们运行测试
启动。相关代码位于
kernel/lib/crypto/entropy/quality\_test.cpp
,但基本思路是
内核会分配一个较大的静态缓冲区,以便在前期启动期间保存测试数据
(在 VMM 启动之前,因此在分配 VMO 之前)。之后,
并将 VMO 数据复制到 userboot 和 devmgr 中,其中
它以伪文件的形式呈现在 /boot/kernel/debug/entropy.bin
。用户空间
应用可以读取此文件并导出数据(通过复制到永久性存储空间或
使用网络)。
从理论上讲,你应该能够通过熵收集器测试来构建锆石。
使用 scripts/entropy-test/make-parallel
启用后,您应该能够
使用脚本运行单个启动时测试
scripts/entropy-test/run-boot-test
。run-boot-test
脚本主要用于
预期会由其他脚本调用,因此,对代码
边缘(例如,它的大多数参数都通过命令行选项传递)
例如-a x86-64
,但其中许多“选项”实际上是强制性的)。
假设 run-boot-test
脚本成功,它应该会在
输出目录:entropy.000000000.bin
和 entropy.000000000.meta
。通过
第一个是从熵源收集的原始数据,
简单文本文件,其中每行都是一个键值对。键为单个字词
匹配 /[a-zA-Z0-9_-]+/
,这些值通过空格匹配分隔
/[ \t]+/
。在 Bash 中可以通过 read
轻松解析此文件,
在 Python 中为 str.split()
,或者(通常谨慎对待缓冲区溢出)
scanf
的 C 语言。
在实际操作中,我担心这些脚本中的位腐蚀问题。 部分介绍了脚本的预期用途, 或在脚本中断时手动修复脚本。
启动时测试:构建
由于启动时熵测试需要
永久预留(针对 VMM 之前的临时缓冲区),我们通常不会构建
进入内核的熵测试模式。要启用这些测试,您需要将
构建时使用 ENABLE_ENTROPY_COLLECTOR_TEST
标志,例如添加以下代码行
EXTERNAL_DEFINES += ENABLE_ENTROPY_COLLECTOR_TEST=1
发送至 local.mk
。目前还有一个构建时常量,
ENTROPY_COLLECTOR_TEST_MAXLEN
:(如果提供)是
静态分配的缓冲区。如果未指定,则默认值为 1MiB。
启动时测试:配置
启动时测试通过内核 cmdline 控制。相关 cmdline
kernel.entropy-test.*
,记录在
kernel_cmdline.md.
一些熵源(尤其是抖动源)的参数值可 通过内核 cmdline 进行调整。同样,请参阅 kernel_cmdline.md 了解更多详情。
启动时测试:正在运行
只要启动过程正确无误,启动时测试就会在启动期间自动运行 会传递内核 cmdlines(如果 cmdlines 有问题、错误 将改为输出消息)。这些测试在 RNG 种子,发生在 LK_INIT_LEVEL_PLATFORM_EARLY 之前不久 VMM 启动的堆如果运行大型测试,启动速度通常会变慢 明显下降。例如,从 Android 6.0 平台上的 rpi3 可能需要大约一分钟的时间,具体取决于参数值。
运行时测试
TODO(https://fxbug.dev/42098992):讨论实际的用户模式测试过程
目前的大致思路:只有内核可以触发 hwrng 读取。要进行测试
用户空间发出内核命令(例如 k hwrng test
),其中一些参数
指定测试来源和长度。内核会将随机字节收集到
位于 /boot/kernel/debug/entropy.bin
的现有 VMO 支持的伪文件,假设
确认这是可安全写入的目前尚未实现;由于缺少
用户空间 HWRNG 驱动程序。可以先测试 VMO 重写机制。
测试数据导出
测试数据保存在 Zircon 系统的 /boot/kernel/debug/entropy.bin
中
测试。到目前为止,我通常通过 netcp
手动导出数据文件。
如果您使用正确的 Fuchsia 软件包进行构建,则其他选项包括 scp
;或者
保存到永久性存储空间
运行 NIST 测试套件
注意:实际上,NIST 测试并未在 Fuchsia 中反映出来。现在,您需要 从代码库克隆测试(位于 https://github.com/usnistgov/SP800-90B_EntropyAssessment.
NIST 测试套件有三个入口点(截至 2008 年 10 月提交的版本。
2016):iid_main.py
、noniid_main.py
和 restart.py
。两个“主要”
脚本会执行大部分工作。iid_main.py
脚本旨在
生成独立、等分布数据样本的熵源。
大多数测试是验证 iid 条件。许多熵源
不是 iid,因此 noniid_main.py
测试会实现多个熵估算器
不需要 iid 数据的数据。
请注意,来自 NIST 代码库的测试二进制文件是不含
Shebang 行,因此您可能需要对命令明确调用 python
。
前两个脚本有两个必需参数:要读取的数据文件、
和每个样本的有效位数量(如果小于 8,则仅低 N
位)。它们可以选择接受 -v
标志以生成
详细输出或 -h
以获取帮助。
noniid_main.py
还可以选择接受 -u <int>
标志,该标志可减少
低于在第二个必需参数中传递的 N
值的位数。
我不太清楚为什么提供此标志;但其功能
是多余的,但传递它确实会略微更改详细输出。我最猜的
之所以提供该结果,是因为非国际化马尔可夫检验只适用于
最多为 6 位,因此 7 位或 8 位数据集将降低到其低 6 位,
此测试。相比之下,所有 iid 测试都可以在 8 位样本上运行。
iid_main.py
脚本的示例调用:
python2 -- $FUCHSIA_DIR/third_party/sp800-90b-entropy-assessment/iid_main.py -v /path/to/datafile.bin 8
restart.py
脚本接受相同的两个参数,外加第三个参数:
上一次运行 iid_main.py
返回的最小熵估算值,或
noniid_main.py
。本文档未介绍重启测试。目前,请参阅
NIST SP800-90B 了解更多详情。
未来方向
自动化
如果能自动化构建、配置和运行 质量测试。首先,应该可以轻松编写 Shell 脚本, 执行这些步骤。更好的方法是使用测试基础架构 自动运行熵收集器质量测试,主要是为了减少位衰减 。如果自动化操作失败,我们只能依靠人工进行定期 运行测试(或修复测试中断时的问题)。