19 смертных грехов, угрожающих безопасности программ
Шрифт:
Раз уж такие ошибки возможны даже в распространенных криптографических API, вообразите, что может произойти, если вы решите самостоятельно разработать систему для генерации случайных чисел. На создание гарантированно безопасных генераторов затрачено очень много усилий. Если вам никак не обойтись без собственного, то хотя бы воспользуйтесь их плодами. В следующем разделе мы покажем, как это можно сделать.
Искупление греха
Как правило, мы рекомендуем применять системный CRNG–генератор. Есть лишь три исключения из этого правила: когда вы пишете программу для системы, в которой такого генератора нет; когда
Windows
В состав Windows CryptoAPI входит функция CryptGetRandom, которую может реализовать любой криптографический провайдер. Это CRNG–генератор, который система часто затравливает новой энтропией.
Функция заполняет буфер указанным числом байтов. Вот простой пример, показывающий, как можно выбрать провайдера и с его помощью заполнить буфер:
#include <wincrypt.h>
void GetRandomBytes(BYTE *pbBuffer, DWORD dwLen) {
HCRYPTPROV hProvider; /* Вы должны создать экземпляр провайдера */
if (!CryptAcquireContext(&hProvider, 0, 0, PROV_RSA_FULL,
CRYPT_VERIFYCONTEXT))
ExitProcess((UINT) -1);
if (!CryptGetRandom(hProvider, dwLen, pbBuffer))
ExitProcess((UINT) -1);
}
В предположении, что вы работаете с достаточно современной версией Windows, в которой вообще есть этот API (а это почти наверняка так), обращение к CryptGetRandom всегда завершается успешно. Но лучше оставить код в таком виде, поскольку другие провайдеры могут предоставлять реализацию, в которой ошибки возможны, например если генератор истинно случайных чисел не проходит тест FIPS.
Код для .NET
Чем пользоваться безнадежно предсказуемым классом Random, рекомендуем поступить таким образом:
using System.Security.Cryptography;
try {
byte[] b = new byte[32];
new RNGCryptoServiceProvider.GetBytes(b);
// b содержит 32 байта случайных данных
} catch (CryptographyException e) {
// Ошибка
}
Или на VB.NET:
Imports System.Security.Cryptography;
Dim b(32) As Byte
Dim i As Short
Try
Dim r As new RNGCryptoServiceProvider
r.GetBytes
\' b содержит 32 байта случайных данных
Catch e As CryptographyException
\' Обработать ошибку
End Try
Unix
В системах Unix криптографический генератор случайных чисел работает так же, как файл. Случайные числа поставляются двумя специальными устройствами (обычно они называются /dev/random и /dev/urandom, но в OpenBSD это /dev/ srandom и /dev/urandom). Реализации отличаются, но характеристики более–менее схожи. Эти устройства устроены так, что позволяют получать ключи любого разумного размера, поскольку хранят некий очень большой «ключ», содержащий, как правило, гораздо больше 256 битов энтропии. Как и в Windows, эти генераторы часто меняют затравку, в которую включаются все интересные асинхронные события, к примеру перемещения мыши и нажатия на клавиши.
Разница между /dev/random и /dev/urandom довольно тонкая. Может возникнуть мысль,
Доступ к генератору аналогичен доступу к любому файлу. Например, в Python это делается так:
f = open(\'/dev/urandom\') # Если возникнет ошибка, будет возбуждено
# исключение.
data = f.read(128); # Прочитать 128 случайных байтов и сохранить их
# в data
Впрочем, функция os.urandom в Python предоставляет единый интерфейс к CRNG–генератору. В случае UNIX она обращается к нужному устройству, а в Windows вызывает CryptGetRandom.
Java
Как и в Windows, в языке Java реализована архитектура на основе провайдеров. Различные провайдеры могут реализовывать предоставляемый Java API для получения случайных чисел криптографического качества и даже возвращать через тот же API необработанную энтропию. В реальности, однако, вы, скорее всего, будете работать с провайдером по умолчанию. А в большинстве реализации виртуальной Java–машины (JVM) провайдер по умолчанию почему–то получает энтропию собственными средствами, не обращаясь к системному CRNG–генератору. Поскольку JVM не встроена в операционную систему, она не является лучшим местом для сбора такого рода данных; в результате на получение первого числа может уйти заметное время (несколько секунд). Хуже того, Java делает это при запуске каждого нового приложения.
Если вы заранее знаете, на какой платформе работаете, то можете просто задать затравку для экземпляра класса SecureRandom, получив ее от системного генератора, это позволит устранить задержку. Для реализации максимально переносимой программы многие разработчики принимают поведение по умолчанию. Но ни при каких обстоятельствах не «зашивайте» затравку в код!
Класс SecureRandom предоставляет удобный API для доступа к генератору. Вы можете получить массив случайных байтов (nextBytes), случайное значение типа Boolean (nextBoolean), типа Double (nextDouble), типа Float (nextFloat), типа Int (nextlnt) или типа Long (nextLong). Можно также получить случайную величину с гауссовским (nextGaussian), а не равномерным распределением.
Для вызова генератора нужно лишь создать экземпляр класса (для этого годится конструктор по умолчанию) и обратиться к одному из вышеупомянутых методов доступа, например:
import java.security.SecureRandom;
byte test[20];
SecureRandom crng = new SecureRandom;
crng.nextBytes(test);