Beveiliging vaak onvoldoende door getallentekort
Als individuele gebruikers een wachtwoord nodig hebben, bedenken ze zelf een ingewikkeld getal of een code die moeilijk te raden is. Maar als voor het beheer van een IT-infrastructuur per uur duizenden van dergelijke codes nodig zijn, dan moeten die codes op een andere manier worden verkregen. Hulp van de computer zelf is niet te verwachten want die is, uit de aard van zijn architectuur, 'van nature' systematisch en niet tot willekeur in staat.
Shutterstock
© Shutterstock
Daarom worden echte random-waarden afgeleid van iets ('entropiebronnen') buiten de computer (bijvoorbeeld van een registratie van kosmische ruis of van door mensen veroorzaakte muisbewegingen). Het online aanbod van dergelijke random-getallen blijkt echter onvoldoende om de sterk groeiende vraag op voldoende kwalitatief niveau te dekken. Het gevolg is dat beheerders van IT-infrastructuur op zich uitstekende scrambelingsoftware voeden met matige of hergebruikte 'seeds' en aldus hun datastromen ook maar matig 'verscrambelen'.
Dat is althans wat de onderzoekers Bruce Potter en Sasha Moore vorige week meldden op de Black Hat beveiligingsconferentie in Las Vegas. Voor hun inventarisatie van de problematiek keken Potter en Wood onder meer naar de gang van zaken onder Linux, FreeBSD kernel, OpenSSL, OpenSSH en OpenVPN. Ook presenteerden ze een open source tool - 'Libentropy' - voor het monitoren van de het aanbod en het gebruik van random-getallen.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee