|
Es kann nun beim für den 15. oder 22. Oktober erwarteten Linux
4.19 flexibler festgestellt werden, wie weit der Kernel dem Zufallszahlengenerator
des Prozessors trauen darf. Für den umstrittenen und von der
NSA entwickelten Verschlüsselungsalgorithmus Speck ist der
Support bei Veröffentlichung dieses Textes noch dabei. Vor
der zu Jahresanfang bekannt gewordenen Prozessorlücke Meltdown
kann 32-Bit-x86-Linux jetzt auch schützen, welches allerdings
nur funktioniert, wenn auch PAE-Support
aktiv ist.
Zudem haben die Entwickler Schutz vor der Prozessorlücke Spectre
v4 eingebaut und jenen für Spectre v2 verbessert.
Ob der Kernel-eigene Zufallszahlengenerator bei der Initialisierung
auch Daten einbeziehen darf, die Zufallszahlengeneratoren moderner
Hauptprozessoren liefern, kann jetzt beim Bau
eines Kernel-Images über eine Option festlegt werden. Über
den neuen
Kernel-Parameter random.trust_cpu= kann dieser Aspekt jetzt
auch beim Booten beeinflusst werden.
LWN.net erläutert die Änderungen rund um die Initialisierung
des Congruential Random Number Generator (CRNG) von Linux, welche
im Rahmen von Diskussionen entstanden sind, näher im Artikel
"Initializing
the entropy pool using RDRAND and friends". Auslöser
war die Vorstellung des Patches mit der Build-Option, durch den
der Kernel bei der Initialisierung den Zufallszahlengenerator des
Hauptprozessors einbeziehen kann, welches Wartezeiten beim Booten
und die Qualität der früh im Startprozess zur Verfügung
stehenden Zufallszahlen verbessern soll. Allerdings meldeten sich
nach Veröffentlichung des Patches Stimmen, die den Zufallszahlengenerator
von CPUs misstrauen und sich daher gegen eine standardmäßige
Einbeziehung über Befehle wie RDRAND aussprachen. Jenes führte
letztlich zur Entwicklung des Patches, welcher den Boot-Parameter
nachrüstet. Ob der Kernel den Zufallszahlengeneratoren von
CPUs traut oder nicht, legt für die meisten Anwender in Zukunft
der Distributor fest.
Es deutet alles darauf hin, dass der umstrittene Verschlüsselungsalgorithmus
Speck auch von Linux 4.19 unterstützt wird. Support für
diesen von der NSA entwickelten Ansatz hatten Google-Entwickler
zu Linux 4.17 beigesteuert. Da sie Speck bei Android nutzen wollten,
rüsteten sie dann bei 4.18 noch Speck-Support in Fscrypt nach.
Die Entwickler gaben noch vor Fertigstellung von 4.18 überraschend
bekannt, dass Google Speck doch nicht einsetzen wolle.
Um die Speck-Unterstützung wieder komplett zu entfernen, kursierten
bereits kurz darauf Patches. Schließlich zogen diese am 5.
September (und damit nach Ende der heißen Entwicklungsphase
von 4.19) in "Linux-Next" ein, welches der Entwicklerzweig
ist, in dem die Programmierer die Änderungen für die jeweils
übernächste Version (derzeit also den Nachfolger von 4.19)
aufeinander abstimmen.
In den Hauptentwicklungszweig von Linux (und damit die gerade vorbereitete
Version) ziehen nach einer einige Tage dauernden Testphase manche
Patches in linux-next auch noch ein, wenn der jeweils zuständige
Subsystementwickler das für angebracht hält. Dazu ist
es in den vergangenen Wochen aber nicht gekommen. Es wird immer
unwahrscheinlicher, dass Speck noch vorher entfernt wird, da sich
die Freigabe von 4.19 nähert. Es sieht vielmehr danach aus,
dass die Patches wohl erst in den Nachfolger von 4.19 einfließen,
welcher wahrscheinlich die Versionsnummer 5.0 bekommt und zum Jahreswechsel
erscheinen dürfte. Der Patch soll aber laut Kennzeichnung zurückportiert
werden. Im Rahmen des Stable-Zweigs (also die 4.19.x-Versionsreihe)
fliegt Speck womöglich doch noch raus.
(jf, hannover)
(siehe auch Heise
News-Ticker:)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|
