Provided by: manpages-pl_0.7-2_all 
NAZWA
random, urandom - urządzenia źródłowe liczb losowych jądra
SKŁADNIA
#include <linux/random.h> int ioctl(fd, RNDżądanie, parametr);
OPIS
Specjalne urządzenia znakowe /dev/random i /dev/urandom (obecne w Linuksie od wersji 1.3.30) stanowią
interfejs do wbudowanego w jądro generatora liczb losowych. Plik /dev/random ma numer główny urządzenia 1
i numer poboczny 8. Plik /dev/urandom ma numer główny urządzenia 1 i numer poboczny 9.
Generator liczb losowych zbiera szum środowiskowy ze sterowników urządzeń i innych źródeł do puli
losowej. Generator przechowuje również szacunkową liczbę bitów szumu w puli losowej. Z puli tej tworzone
są liczby losowe.
W trakcie odczytu, urządzenie /dev/random zwraca losowe bajty wyłącznie spośród oszacowanej liczby bitów
szumu w puli. /dev/random nadaje się najlepiej do zastosowań, w których potrzebna jest losowość bardzo
wysokiej jakości, jak np. jednorazowa maska lub generowanie kluczy. Jeśli pula losowa jest pusta, odczyt
z /dev/random będzie wstrzymany do czasu zebrania dodatkowego szumu środowiskowego. Jeśli open(2) jest
wywołane do /dev/random z flagą O_NONBLOCK, kolejne read(2) nie będzie blokowane, jeśli żądana liczba
bajtów nie jest dostępna. W zamian zwracane są dostępne bajty. Jeśli nie ma dostępnych bajtów, read(2)
zwróci -1, a errno ustawi się na EAGAIN.
Odczyt z urządzenia /dev/urandom zwróci tyle bajtów, ile zażądano. W efekcie, jeśli nie ma
wystarczającego chaosu w puli losowej, do utworzenia żądanych bajtów jest używany generator pseudolosowy.
Zwracane wartości są wówczas teoretycznie narażone na atak kryptograficzny w stosunku do algorytmów
wykorzystywanych przez sterownik. Wiedza na ten temat nie jest dostępna w obecnych niezastrzeżonych
publikacjach, ale istnieje teoretyczna możliwość przeprowadzenia takiego ataku. Jeśli jest to problemem w
przypadku Twojego programu, użyj /dev/random. O_NONBLOCK nie ma wpływu przy korzystaniu z /dev/urandom.
Przy wywoływaniu read(2) dla urządzenia /dev/urandom sygnały nie będą obsługiwane aż do utworzenia
żądanych losowych bajtów.
Od Linuksa 3.16, a read(2) z /dev/urandom zwróci co najwyżej 32 MB. read(2) z /dev/random zwróci nie
więcej niż 512 bajtów (przed jądrami Linux w wersji 2.6.12 - 340 bajtów).
Pisanie do /dev/random lub /dev/urandom zaktualizuje pulę entropii za pomocą pisanych danych, lecz nie
zwiększy poziomu entropii. Oznacza to, że będzie to miało wpływ na odczyt z obu plików, lecz nie uczyni
odczytu z /dev/random szybszym.
Użycie
Jeśli nie jest pewne, czy należy użyć /dev/random, czy dev/urandom, to najprawdopodobniej powinno się
użyć tego ostatniego. Generalna zasada jest taka, że /dev/urandom powinno być używane do wszystkiego, z
wyjątkiem długoterminowych kluczy GPG/SSL/SSH.
Jeśli plik puli losowej jest przechowywany pomiędzy ponownymi uruchomieniami, zgodnie z poniższymi
zaleceniami (czynią to wszystkie główne dystrybucje Linuksa od co najmniej 2000 roku), wyjście jest
kryptograficznie bezpieczne w stosunku do atakujących bez dostępu do lokalnego roota, zaraz po
przeładowaniu go w sekwencji rozruchowej i odnosi się w całości do sieciowych kluczy szyfrujących sesji.
Ponieważ odczyt z /dev/random może nie być płynny, użytkownicy będą go z reguły chcieli otworzyć w trybie
nieblokującym (lub przeprowadzać odczyt z czasem oczekiwania) i udostępniać jakiś typ powiadomienia dla
użytkownika, jeśli oczekiwana losowość nie jest od razu dostępna.
Generator liczb losowych jądra jest zaprojektowany do tworzenia niewielkiej ilości ziarna (ang. seed) o
wysokiej jakości, do użycia z kryptograficznym generatorem liczb pseudolosowych (ang. cryptographic
pseudo-random number generator - CPRNG). Głównym celem było bezpieczeństwo, nie szybkość, i jest on
kiepsko przystosowany do tworzenia dużej ilości danych losowych. Użytkownicy powinni odczytywać
niewielkie ilości ziarna z /dev/urandom (i /dev/random) - niepotrzebne odczytywanie dużych ilości danych
z tych urządzeń będzie miało negatywny wpływ na innych użytkowników urządzeń.
Ilość ziarna potrzebna do wygenerowania klucza kryptograficznego zależy od efektywnego rozmiaru klucza.
Na przykład, 3072-bitowy klucz prywatny RSA lub Diffiego-Hellmana ma efektywny rozmiar klucza 128-bitów
(wymaga około 2^128 operacji do złamania), więc generator klucza potrzebuje jedynie 128 bitów (16 bajtów)
ziarna z /dev/random.
O ile niewielki margines bezpieczeństwa powyżej tego minimum jest zrozumiały, jako ochrona przed
słabościami algorytmu CPRNG, nie istnieje aktualnie algorytm kryptograficzny zdolny zapewnić więcej niż
256 bitów bezpieczeństwa, więc jeśli jakiś program odczytuje więcej niż 256 bitów (32 bajtów) z losowego
ziarna jądra na pojedyncze wywołanie lub na rozsądny interwał ponownego tworzenia ziarna (co najmniej
minuta), to jest to oznaka, że jego kryptografia nie jest umiejętnie zaimplementowana.
Konfiguracja
Jeśli w systemie nie ma plików /dev/random i /dev/urandom, można je utworzyć przy użyciu następujących
poleceń:
mknod -m 666 /dev/random c 1 8
mknod -m 666 /dev/urandom c 1 9
chown root:root /dev/random /dev/urandom
Gdy Linux uruchamiany jest przy niewielkim udziale operatora, pula losowa może być w dość przewidywalnym
stanie. Faktyczna ilość szumu w puli losowej jest wówczas poniżej ilości szacowanej. Aby przeciwdziałać
temu efektowi, pomocne jest zapamiętywanie informacji o puli losowej pomiędzy kolejnymi uruchomieniami
systemu. Aby działo się to automatycznie, należy dodać wiersze do stosownych skryptów startowych Linuksa:
echo "Inicjowanie generatora liczb losowych..."
random_seed=/var/run/random-seed
# Przechowanie wartości losowej od jednego startu systemu
# do kolejnego startu. Ładowanie oraz późniejsze zachowywanie
# całej puli losowej. if [ -f $random_seed ]; then
cat $random_seed >/dev/urandom
else
touch $random_seed
fi
chmod 600 $random_seed
poolfile=/proc/sys/kernel/random/poolsize
[ -r $poolfile ] && bits=$(cat $poolfile) || bits=4096
bytes=$(expr $bits / 8)
dd if=/dev/urandom of=$random_seed count=1 bs=$bytes
Trzeba również dodać następujące wiersze do stosownego skryptu uruchamianego podczas zamykania systemu
Linuksa:
# Przechowanie losowych danych pomiędzy wyłączeniem a włączeniem
# komputera. Zachowywanie puli losowej generatora.
echo "Zachowywanie puli losowej..."
random_seed=/var/run/random-seed
touch $random_seed
chmod 600 $random_seed
poolfile=/proc/sys/kernel/random/poolsize
[ -r $poolfile ] && bits=$(cat $poolfile) || bits=4096
bytes=$(expr $bits / 8)
dd if=/dev/urandom of=$random_seed count=1 bs=$bytes
W powyższych przykładach zakładamy, że Linux jest w wersji 2.6.0 lub nowszej, gdzie
/proc/sys/kernel/random/poolsize zwraca rozmiar puli entropii w bitach (zob. niżej).
Interfejs /proc
Pliki w katalogu /proc/sys/kernel/random (obecnym od wersji 2.3.16) są dodatkowym interfejsem do
urządzenia /dev/random.
Plik z prawami tylko do odczytu entropy_avail dostarcza dostępną pulę losową. Zazwyczaj będzie to 4096
(bitów), całość dostępnej puli.
Plik poolsize zawiera rozmiar puli losowej. Format tego pliku zależy od wersji jądra.
Linux 2.4: Plik podaje rozmiar puli losowej w bajtach. Zazwyczaj - 512 (bajtów). Plik jest
zapisywalny i może być zmieniony na dowolną wartość, dla której dostępny jest
algorytm. Obecnie możliwe wartości to: 32, 64, 128, 256, 512, 1024 lub 2048.
Linux 2.6: Plik jest dostępny tylko do odczytu i podaje rozmiar puli losowej w bitach. Zawiera
wartość 4096.
Plik read_wakeup_threshold zawiera liczbę bitów entropii potrzebnej do obudzenia procesu, który zasnął,
czekając na entropię z pliku /dev/random. Domyślnie - 64. Plik write_wakeup_threshold zawiera liczbę
bitów entropii poniżej której zostanie uśpiony proces, który wykona select(2) lub poll(2), aby otworzyć
do zapisu urządzenie /dev/random. Wartości te mogą być zmienione przez zapis do tych plików.
Pliki tylko do odczytu uuid i boot_id zawierają losowe łańcuchy znaków, takie jak
6fd5a44b-35f4-4ad4-a9b9-6b9be13e1fe9. Pierwszy z tych plików jest generowany na nowo przy każdym
odczycie, a drugi jest generowany tylko raz.
Interfejs ioctl(2)
Następujące żądania ioctl(2) są zdefiniowane na deskryptorach plików połączonych z /dev/random lub
/dev/urandom. Wszystkie przeprowadzone żądania wpływają na wejściową pulę entropii zarówno /dev/random
jak i /dev/urandom. Możliwość CAP_SYS_ADMIN jest wymagana przez wszystkie żądania za wyjątkiem
RNDGETENTCNT.
RNDGETENTCNT
Zbiera wartość entropii z puli wejściowej, zawartość będzie taka sama jak pliku entropy_avail w
katalogu proc. Wyniki zostaną przechowane w liczbie całkowitej wskazanej przez argument.
RNDADDTOENTCNT
Zwiększa lub zmniejsza wartość entropii z puli wejściowej o wartość wskazaną przez argument.
RNDGETPOOL
Usunięte w Linuksie 2.6.9
RNDADDENTROPY
Dodaje dodatkową entropię do puli wejściowej, zwiększając wartość entropii. Różni się to od zapisu
do /dev/random lub /dev/urandom, które dodaje pewne dane, lecz nie zwiększa wartości entropii.
Używana jest poniższa struktura:
struct rand_pool_info {
int wartość_entropii;
int wiel_buf;
__u32 buf[0];
};
Wartość_entropii to wartość dodawana (lub odejmowana) od wartości entropii, buf to bufor o
wielkości wiel_buf dodawany do puli entropii.
RNDZAPENTCNT, RNDCLEARPOOL
Zeruje wielkość entropii we wszystkich pulach i dodaje do nich pewne dane systemowe (np.
rzeczywisty czas trwania - tzw. wall clock).
PLIKI
/dev/random
/dev/urandom
ZOBACZ TAKŻE
getrandom(2), mknod(1) RFC 1750, "Randomness Recommendations for Security"
O STRONIE
Angielska wersja tej strony pochodzi z wydania 4.05 projektu Linux man-pages. Opis projektu, informacje
dotyczące zgłaszania błędów, oraz najnowszą wersję oryginału można znaleźć pod adresem
https://www.kernel.org/doc/man-pages/.
TŁUMACZENIE
Autorami polskiego tłumaczenia niniejszej strony podręcznika man są: Paweł Olszewski (PTM)
<alder@civic.amg.net.pl>, Robert Luberda (PTM) <robert@debian.org> i Michał Kułach
<michal.kulach@gmail.com>.
Polskie tłumaczenie jest częścią projektu manpages-pl; uwagi, pomoc, zgłaszanie błędów na stronie
http://sourceforge.net/projects/manpages-pl/. Jest zgodne z wersją 4.05 oryginału.