Криптографическая структура OpenBSD - OpenBSD Cryptographic Framework

В Криптографическая структура OpenBSD (OCF) представляет собой уровень виртуализации услуг для единообразного управления криптографическим оборудованием с помощью Операционная система. Это часть OpenBSD Проект, включенный в операционную систему начиная с OpenBSD 2.8 (декабрь 2000 г.). Как и другие проекты OpenBSD, такие как OpenSSH, это было портирован к другим системам на основе Беркли Unix такие как FreeBSD и NetBSD, и чтобы Солярис и Linux.^[1][2] Один из портов Linux поддерживается Intel для использования с собственным криптографическим программным и аппаратным обеспечением для обеспечения аппаратного ускорения SSL шифрование для открытого исходного кода HTTP-сервер Apache.^[3]

Задний план

Криптография требует больших вычислительных ресурсов и используется во многих различных контекстах. Реализация программного обеспечения часто является узким местом для информационного потока или увеличения сетевая задержка. Специальное оборудование, такое как криптографические ускорители может смягчить проблему узких мест, введя параллелизм. Определенные виды оборудования, аппаратные генераторы случайных чисел, также может производить случайность более надежно, чем псевдослучайный программный алгоритм используя энтропия природных явлений.^{[нужна цитата ]}

В отличие от графических приложений, таких как игры и обработка фильмов, где аналогичные аппаратные ускорители широко используются и имеют сильную поддержку операционной системы, использование аппаратного обеспечения в криптографии было относительно низким.^{[нужна цитата ]} К концу 1990-х годов возникла потребность в едином уровне операционной системы, который бы служил посредником между криптографическим оборудованием и прикладным программным обеспечением, которое его использовало. Отсутствие этого уровня привело к созданию приложений, которые были жестко запрограммированы для работы с одним или очень небольшим набором криптографических ускорителей.

Проект OpenBSD, который имеет историю интеграции надежной, тщательно проверенной криптографии в ядро ​​своей операционной системы, создал основу для обеспечения криптографического аппаратного ускорения в качестве службы операционной системы.

/ dev / крипто

Поддержка на уровне приложений осуществляется через псевдоустройство. / dev / крипто, который обеспечивает доступ к драйверам оборудования через стандартный ioctl интерфейс. Это упрощает написание приложений и избавляет программиста от необходимости понимать рабочие детали фактического оборудования, которое будет использоваться.^[4]

Последствия для других подсистем

Реализация OpenBSD IPsec, протокол шифрования на уровне пакетов, был изменен так, чтобы пакеты можно декодировать партиями, что улучшает пропускная способность. Одно из объяснений этого - максимизация эффективности использования оборудования - большие пакеты уменьшают накладные расходы на передачу по шине, - но на практике разработчики IPsec обнаружили, что эта стратегия повышает эффективность даже программных реализаций.

Многие центры прошивки Intel на i386 материнские платы предоставляют аппаратный генератор случайных чисел, и, где возможно, это средство используется для обеспечения энтропии в IPsec.

Потому что OpenSSL использует OCF, системы с оборудованием, поддерживающим ЮАР, DH, или DSA криптографические протоколы будут автоматически использовать оборудование без каких-либо изменений программного обеспечения.

Обвинения в бэкдоре расследованы

Смотрите также: OpenBSD § Предполагаемый бэкдор

11 декабря 2010 года бывший государственный подрядчик по имени Грегори Перри отправил электронное письмо руководителю проекта OpenBSD. Тео де Раадт утверждая, что ФБР заплатил некоторым бывшим разработчикам OpenBSD 10 лет назад за то, что они поставили под угрозу безопасность системы, вставив «ряд бэкдоров и механизмов утечки ключей побочных каналов в OCF». Тео де Раадт опубликовал это электронное письмо 14 декабря, направив его в список рассылки openbsd-tech и предложив провести аудит IPsec кодовая база.^[5][6] Де Раадт скептически отнесся к отчету и предложил всем разработчикам самостоятельно проверить соответствующий код. В последующие недели ошибки были исправлены, но никаких доказательств наличия бэкдоров обнаружено не было.^[7]

Продукт с таким же названием Solaris

Oracle собственная операционная система Солярис (изначально разработан солнце ) содержит не связанный с этим продукт, называемый Solaris Cryptographic Framework, систему подключаемых модулей для криптографических алгоритмов и оборудования.

Смотрите также

• Функции безопасности OpenBSD
• Crypto API (Linux)
• Microsoft CryptoAPI

использованная литература

1. Linux-криптодев В архиве 2012-03-20 на Wayback Machine
2. Керомитис, Райт, де Раадт и Бернсайд, Криптография как услуга операционной системы: пример из практики, Транзакции ACM по вычислительным системам, Том 23, № 1, февраль 2006 г., страницы 1-38, PDF
3. Корпорация Intel, 2008 г., OpenSSL и Apache - Программное обеспечение
4. crypto (4) в руководстве OpenBSD
5. де Раадт, Тео (14 декабря 2010 г.). «Утверждения относительно OpenBSD IPSEC». openbsd-tech (Список рассылки).
6. Холверда, Том (14 декабря 2010 г.), «ФБР добавило секретные бэкдоры в OpenBSD IPSEC», OSNews, получено 2011-12-13
7. Райан, Пол (23 декабря 2010 г.), «Аудит кода OpenBSD обнаруживает ошибки, но не обнаруживает бэкдор», Ars Technica, Condé Nast Digital, получено 2011-01-09

внешние ссылки

• Криптография в OpenBSD, обзорный документ, предоставленный проектом OpenBSD.
• OCF Linux Проект.