Jump to content

Криптографическая платформа OpenBSD

OpenBSD Cryptographic Framework ( OCF ) — это уровень виртуализации служб для единообразного управления криптографическим оборудованием операционной системы . Это часть проекта OpenBSD , включенная в операционную систему начиная с OpenBSD 2.8 (декабрь 2000 г.). Как и другие проекты OpenBSD, такие как OpenSSH , он был портирован на другие системы на базе Berkeley Unix, такие как FreeBSD и NetBSD , а также на Solaris и Linux . [1] [2] Один из портов Linux поддерживается корпорацией Intel для использования с ее собственным криптографическим программным и аппаратным обеспечением для обеспечения аппаратно-ускоренного SSL- шифрования для HTTP-сервера Apache с открытым исходным кодом . [3]

Фон

[ редактировать ]

Криптография требует больших вычислительных ресурсов и используется во многих различных контекстах. Реализации программного обеспечения часто служат узким местом для потока информации или увеличивают задержку в сети . Специальное оборудование, такое как криптографические ускорители, может смягчить проблему узких мест за счет введения параллелизма . Определенные виды аппаратного обеспечения, например, аппаратные генераторы случайных чисел , также могут генерировать случайность более надежно, чем псевдослучайный программный алгоритм , используя энтропию естественных событий. [ нужна ссылка ]

В отличие от графических приложений, таких как игры и обработка фильмов, где аналогичные аппаратные ускорители широко используются и имеют надежную поддержку операционной системы, использование аппаратного обеспечения в криптографии получило относительно низкое распространение. [ нужна ссылка ] К концу 1990-х годов возникла потребность в едином уровне операционной системы, который был бы посредником между криптографическим оборудованием и прикладным программным обеспечением, которое его использовало. Отсутствие этого уровня привело к созданию приложений, которые были жестко запрограммированы для работы с одним или очень небольшим набором криптографических ускорителей.

Проект OpenBSD, имеющий опыт интеграции надежной, тщательно проверенной криптографии в ядро ​​своей операционной системы, создал основу для обеспечения аппаратного криптографического ускорения в качестве службы операционной системы.

/dev/крипто

[ редактировать ]

Поддержка уровня приложения осуществляется через псевдоустройство. /dev/crypto , который обеспечивает доступ к драйверам оборудования через стандартный интерфейс ioctl . Это упрощает написание приложений и устраняет необходимость для программиста приложения понимать детали работы фактического оборудования, которое будет использоваться. [4] /dev/crypto был удален в OpenBSD 5.7 и заменен на crypto_ набор системных вызовов .

Последствия для других подсистем

[ редактировать ]

Реализация OpenBSD IPsec , протокола шифрования на уровне пакетов, была изменена таким образом, чтобы пакеты можно было декодировать в пакетном режиме, что повышает пропускную способность . Одним из объяснений этого является максимизация эффективности использования оборудования (большие пакеты уменьшают накладные расходы на передачу по шине), но на практике разработчики IPsec обнаружили, что эта стратегия повышает эффективность даже программных реализаций.

Многие концентраторы встроенного ПО Intel на материнских платах i386 оснащены аппаратным генератором случайных чисел, и там, где это возможно, эта функция используется для обеспечения энтропии в IPsec.

Поскольку OpenSSL использует OCF, системы с оборудованием, поддерживающим криптографические протоколы RSA , DH или DSA, будут автоматически использовать оборудование без какой-либо модификации программного обеспечения.

Обвинения в бэкдоре расследованы

[ редактировать ]
См. Также: OpenBSD § Предполагаемый бэкдор

11 декабря 2010 года бывший государственный подрядчик по имени Грегори Перри отправил электронное письмо руководителю проекта OpenBSD Тео де Раадту, утверждая, что 10 лет назад ФБР заплатило некоторым бывшим разработчикам OpenBSD за то, что они поставили под угрозу безопасность системы, вставив «ряд бэкдоров». и механизмы утечки ключей побочного канала в OCF». Тео де Раадт обнародовал электронное письмо 14 декабря, переслав его в список рассылки openbsd-tech, и предложил провести аудит кодовой базы IPsec . [5] [6] Де Раадт отреагировал на отчет скептически и предложил всем разработчикам самостоятельно просмотреть соответствующий код. В последующие недели ошибки были исправлены, но никаких признаков существования бэкдоров обнаружено не было. [7]

Продукт с аналогичным названием Solaris

[ редактировать ]

Oracle Собственная операционная система Solaris (первоначально разработанная Sun ) включает в себя несвязанный продукт под названием Solaris Cryptographic Framework, систему подключаемых модулей для криптографических алгоритмов и аппаратного обеспечения.

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ Linux-cryptodev. Архивировано 20 марта 2012 г. на Wayback Machine.
  2. ^ Керомитис, Райт, де Раадт и Бернсайд, Криптография как служба операционной системы: практический пример , Транзакции ACM в вычислительных системах, том 23, № 1, февраль 2006 г., страницы 1-38, PDF
  3. ^ Корпорация Intel, 2008, OpenSSL и Apache – Программное обеспечение
  4. ^ crypto(4) в руководстве OpenBSD
  5. ^ де Раадт, Тео (14 декабря 2010 г.). «Обвинения относительно OpenBSD IPSEC» . openbsd-tech (список рассылки).
  6. ^ Холверда, Том (14 декабря 2010 г.), «ФБР добавило секретные бэкдоры в OpenBSD IPSEC» , OSNews , получено 13 декабря 2011 г.
  7. ^ Райан, Пол (23 декабря 2010 г.), «Аудит кода OpenBSD выявляет ошибки, но не обнаруживает бэкдора» , Ars Technica , Condé Nast Digital , получено 9 января 2011 г.
[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=OpenBSD_Cryptographic_Framework&oldid=1128706996"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 8bc0507a45eba660123607f7c8c3b929__1671624540
URL1:https://arc.ask3.ru/arc/aa/8b/29/8bc0507a45eba660123607f7c8c3b929.html
Заголовок, (Title) документа по адресу, URL1:
OpenBSD Cryptographic Framework - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)