Re: Ralentissement Debian / épuisement du générateur aléato…

Top Page

Reply to this message
Author: Xavier Belanger
Date:  
To: guilde
Subject: Re: Ralentissement Debian / épuisement du générateur aléatoire
Bonjour,

>     Personnellement, à l'époque où j'ai eu le problème, j'avais
> installé https://packages.debian.org/buster/haveged . C'est un démon
> qui utilise du CPU afin d'augmenter l'entropie du système. Ce n'est
> pas idéal, voir même déconseille, mais cela marche sur toutes
> les machines.


En particulier pour des machines virtuelles. Selon le système de
virtualisation utilisé et sa configuration, une machine virtuelle
peut avoir accès à une source matérielle de bruit pour génerer
de l'entropie (d'un point de vue sécurité cryptographique une machine
virtuelle est moins "fiable" qu'une machine physique). Ce point
est mentionné sur la page web de Daniel Lange.

En cherchant un peu plus de détails à ce sujet je suis tombé sur
une étude assez détaillée de l'agence nationale de sécurité en
Allemagne (le document est en anglais) :

[ https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/ZufallinVMS/Randomness-in-VMs.pdf ]

Toute personne gérant un serveur physique ou virtuel devrait
regarder cela de plus près : un serveur ayant très peu d'interaction
avec un humain (clavier/souris) les moyens de génération aléatoire
sont plus limités (réseau, disque, co-processeur cryptographique
au mieux). Cela peut aussi avoir des effets sur d'autres plateformes
tel que les Raspberry Pi, où le support matériel est aussi
restreint.

Une solution éventuelle, si votre machine ne dispose pas de
co-processeur cryptographique, est de connecter un HSM (Hardware
Security Module). C'est en général quelque chose de spécialisé
et couteux, mais il exist des variantes open-source plus abordables:

[ https://www.nitrokey.com/ ]

Ce que je n'ai pas encore essayé personellement, mais cela ne
saurait tarder...

A+
--
Xavier Belanger