Comment installer pandom : un générateur de nombres aléatoires véritable pour Linux

Ce tutoriel est destiné aux versions du noyau linux amd64 / x86_64 supérieures ou égales à 2.6.9. Il explique comment installer pandom : un générateur de nombres aléatoires véritable à gigue de timing maintenu par ncomputers.org

Introduction

Le générateur de nombres aléatoires véritable intégré au noyau Linux offre un faible débit dans des circonstances modernes, comme par exemple : les ordinateurs personnels avec des disques durs à état solide (SSD) et les serveurs privés virtuels (VPS).

Ce problème devient populaire dans les implémentations linux, en raison du besoin croissant de nombres aléatoires véritables, principalement pour diverses fins cryptographiques.

Pandom produit environ 8 Ko/s d’entropie de 64 ubits / 64 bits, est compatible avec les environnements physiques et virtuels et suppose qu’aucun autre processus s’exécutant en tant qu’utilisateur root n’écrit dans /dev/random.

1 Installation de pandom

1.1 Obtenir l’accès root

Pandom doit être installé en tant que root, exécutez cette commande si nécessaire.

su -

1.2 Installer les dépendances de construction

Pour télécharger et installer pandom, vous avez besoin de : GNU as assembleur, GNU make, GNU tar et GNU wget (les deux derniers étant généralement déjà installés). Vous pouvez les désinstaller plus tard à votre convenance.

Systèmes basés sur Arch

pacman -S binutils make

Systèmes basés sur Debian

apt-get install binutils make

Systèmes basés sur Red Hat

dnf install binutils make

yum install binutils make

Systèmes basés sur SUSE

zypper install binutils make

1.3 Télécharger et extraire les sources

Ces commandes téléchargent et extraient les sources de pandom depuis ncomputers.org en utilisant wget et tar.

wget http://ncomputers.org/pandom.tar.gz  
tar xf pandom.tar.gz  
cd pandom/amd64-linux

1.4 Tester avant d’installer (recommandé)

Ce test recommandé prend environ 8 minutes. Il vérifie le support du noyau et génère un fichier nommé checkme (analysé dans la section suivante).

make check

1.5 Déterminer le système d’init

Avant d’installer pandom, vous devez savoir quel logiciel d’init votre système utilise. Si la commande suivante affiche le mot running, cela signifie que votre système utilise systemd, sinon il est probable que votre système utilise une implémentation init.d (par exemple : upstart, sysvinit). Il peut y avoir des exceptions, plus d’informations dans ces réponses unix.stackexchange.com.

systemctl is-system-running

running

1.6 Installer pandom

Une fois que vous savez quel système votre implémentation linux utilise, vous pouvez alors installer pandom en conséquence.

Système d’init basé sur init.d (par exemple : upstart, sysvinit)

Installez pandom en exécutant cette commande, si votre système utilise une implémentation init.d (par exemple : upstart, sysvinit).

make install-init.d

systemd comme système d’init

Installez pandom en exécutant cette commande, si votre système utilise systemd.

make install-systemd

2 Analyse du fichier checkme

Avant d’utiliser pandom à des fins cryptographiques, il est fortement recommandé d’analyser le fichier checkme généré lors du processus d’installation dans la section précédente de ce tutoriel. Cette tâche est utile pour savoir si les nombres sont vraiment aléatoires ou non. Cette section explique comment analyser le fichier checkme en utilisant ncomputers.org/ entropyarray : un script shell qui teste l’entropie et la corrélation sérielle de son entrée.

Remarque : cette analyse peut être effectuée sur un autre ordinateur, tel qu’un ordinateur portable ou de bureau. Par exemple : si vous installez pandom sur un serveur privé virtuel (VPS) à ressources limitées, vous pouvez choisir de copier le fichier checkme sur votre ordinateur personnel, afin de l’analyser là-bas.
Vous pouvez également utiliser le testeur d’entropie en ligne.

2.1 Obtenir l’accès root

Entropyarray doit être installé en tant que root, exécutez cette commande si nécessaire.

su -

2.2 Installer les dépendances de construction

Pour télécharger et installer entropyarray, vous avez besoin de : compilateur GNU g++, GNU make, GNU tar et GNU wget (les deux derniers étant généralement déjà installés). Vous pouvez les désinstaller plus tard à votre convenance.

Systèmes basés sur Arch

pacman -S gcc make

Systèmes basés sur Debian

apt-get install g++ make

Systèmes basés sur Red Hat

dnf install gcc-c++ make

yum install gcc-c++ make

Systèmes basés sur SUSE

zypper install gcc-c++ make

2.3 Télécharger et extraire les sources

Ces commandes téléchargent et extraient les sources d’entropyarray depuis ncomputers.org en utilisant wget et tar.

wget http://ncomputers.org/rearray.tar.gz  
wget http://ncomputers.org/entropy.tar.gz  
wget http://ncomputers.org/entropyarray.tar.gz  
  
tar xf entropy.tar.gz  
tar xf rearray.tar.gz  
tar xf entropyarray.tar.gz

2.4 Installer entropyarray

Remarque : les erreurs concernant -std=c++11 signifient que la version du compilateur GNU g++ ne prend pas en charge la norme ISO C++ 2011. Vous pouvez essayer de compiler ncomputers.org/ entropy et ncomputers.org/ rearray sur un autre système qui la prend en charge (par exemple : GNU g++ dans une version plus récente de votre distribution linux préférée) et ensuite installer les binaires compilés en utilisant make install dans le système sur lequel vous souhaitez exécuter entropyarray, ou sauter cette étape, bien qu’il soit fortement recommandé d’analyser le fichier checkme avant d’utiliser pandom à des fins cryptographiques.

cd rearray; make install; cd ..  
cd entropy; make install; cd ..  
cd entropyarray; make install; cd ..

2.5 Analyser le fichier checkme

Remarque : les implémentations pandom de 64 ubits / 64 bits devraient donner ce test avec une entropie supérieure à 15.977 et une fréquence max inférieure à 70. Si vos résultats diffèrent trop, vous pouvez essayer d’augmenter l’imprévisibilité de votre implémentation pandom comme décrit dans la cinquième section de ce tutoriel. Si vous avez sauté la dernière étape, vous pouvez utiliser d’autres outils tels que le test de séquence de nombres pseudorandom.

entropyarray checkme

entropyarray in /tmp/tmp.mbCopmzqsg  
15.977339  
min:12  
med:32  
max:56  
15.977368  
min:11  
med:32  
max:58  
15.977489  
min:11  
med:32  
max:59  
15.977077  
min:12  
med:32  
max:60  
15.977439  
min:8  
med:32  
max:59  
15.977374  
min:13  
med:32  
max:60  
15.977312  
min:12  
med:32  
max:67

2.6 Désinstaller entropyarray (optionnel)

Si vous ne prévoyez plus d’utiliser entropyarray, vous pouvez alors choisir de le désinstaller à votre convenance.

cd entropyarray; make uninstall; cd ..  
cd entropy; make uninstall; cd ..  
cd rearray; make uninstall; cd ..

3 Installation via le dépôt debian

Si vous souhaitez garder pandom à jour sur votre système basé sur debian, vous pouvez choisir de l’installer / réinstaller en utilisant le dépôt debian de ncomputers.org.

3.1 Obtenir l’accès root

Les paquets debian ci-dessous doivent être installés en tant que root, exécutez cette commande si nécessaire.

su -

3.2 Installer le trousseau de clés

Ce paquet debian inclut la clé publique du dépôt debian de ncomputers.org.

wget http://ncomputers.org/debian/keyring.deb  
dpkg -i keyring.deb  
rm keyring.deb

3.3 Installer la liste des sources

Ces paquets debian incluent la liste des sources du dépôt debian de ncomputers.org selon les dernières distributions debian (année 2017).

Remarque : Il est également possible d’écrire les lignes commentées ci-dessous dans /etc/apt/sources.list, au lieu d’installer le paquet debian respectif pour votre distribution debian, mais si ces sources changent à l’avenir, vous devrez alors les mettre à jour manuellement.

Wheezy

#deb http://ncomputers.org/debian wheezy main  
wget http://ncomputers.org/debian/wheezy.deb  
dpkg -i wheezy.deb  
rm wheezy.deb

Jessie

#deb http://ncomputers.org/debian jessie main  
wget http://ncomputers.org/debian/jessie.deb  
dpkg -i jessie.deb  
rm jessie.deb

Stretch

#deb http://ncomputers.org/debian stretch main  
wget http://ncomputers.org/debian/stretch.deb  
dpkg -i stretch.deb  
rm stretch.deb

3.4 Mettre à jour la liste des sources

Une fois le trousseau de clés et la liste des sources installés.

apt-get update

3.5 Tester pandom

Une fois testé, vous pouvez désinstaller le paquet ci-dessous à votre convenance.

Remarque : si vous avez déjà testé pandom dans votre implémentation linux, vous pouvez sauter cette étape.

apt-get install pandom-test  
pandom-test

génération du fichier checkme, veuillez patienter environ 8 minutes ...  
entropyarray in /tmp/tmp.5SkiYsYG3h  
15.977366  
min:12  
med:32  
max:57  
15.977367  
min:13  
med:32  
max:57  
15.977328  
min:12  
med:32  
max:61  
15.977431  
min:12  
med:32  
max:59  
15.977437  
min:11  
med:32  
max:57  
15.977298  
min:11  
med:32  
max:59  
15.977196  
min:10  
med:32  
max:57

3.6 Installer pandom

apt-get install pandom

4 Gestion de pandom

Après l’installation de pandom, vous pourriez vouloir le gérer.

4.1 Test de performance

Pandom offre environ 8 kilooctets par seconde, mais sa performance peut varier en fonction de l’environnement.

dd if=/dev/random of=/dev/null bs=8 count=512

512+0 enregistrements dans  
512+0 enregistrements sortants  
4096 octets (4.1 kB, 4.0 KiB) copiés, 0.451253 s, 9.1 kB/s

4.2 Test d’entropie et de corrélation sérielle

En plus de ncomputers.org/ entropyarray, il existe d’autres tests, par exemple la suite de tests NIST par Ilja Gerhardt.

entropyarray /dev/random 1M

4.3 Service système

Pandom fonctionne en tant que service système.

Système d’init basé sur init.d (par exemple : upstart, sysvinit)

/etc/init.d/random status  
/etc/init.d/random start  
/etc/init.d/random stop  
/etc/init.d/random restart

systemd comme système d’init

systemctl status random  
systemctl start random  
systemctl stop random  
systemctl restart random

5 Augmenter l’imprévisibilité ou la performance

Si vous souhaitez essayer d’augmenter l’imprévisibilité ou la performance de votre implémentation pandom, vous pouvez essayer d’ajouter ou de supprimer des mesures de temps CPU.

5.1 Éditer les fichiers sources

Dans les fichiers sources test.s et tRNG.s, ajoutez ou supprimez des blocs de mesure à votre convenance.

#bloc de mesure  
mov $35,%rax  
syscall  
rdtsc  
[...]  
  
#bloc de mesure  
mov $35,%rax  
syscall  
rdtsc  
[...]

5.2 Tester l’imprévisibilité

Nous recommandons de toujours tester toute implémentation pandom personnalisée avant de l’utiliser à des fins cryptographiques.

make check

5.3 Installer pandom personnalisé

Si vous êtes satisfait des résultats, vous pouvez installer votre implémentation pandom personnalisée.

make install

Informations supplémentaires et mises à jour : http://ncomputers.org/pandom