Titelaufnahme

Die Beurteilung der Eignung und Qualität kryptographischer Systeme ist in Deutschland Aufgabe des Bundesamtes für Sicherheit in der Informationstechnik (BSI), das daher auch diese Studie des Zufallszahlengenerators von Linux in Auftrag gegeben hat. Linux wird in vielen Servern, Desktopsystemen und mobilen, eingebetten IT-Geräten verwendet, die in sensiblen Bereichen von Wirtschaft und Verwaltung einschließlich der kritischen Infrastrukturen zum Einsatz kommen. Gute Zufallszahlen des LRNG sind somit eine Voraussetzung für die Sicherheit der Daten in Behörden und Unternehmen wie auch in den Endgeräten, die in den Haushalten der Bürger zum Einsatz kommen. Der Betriebssystem-Kernel Linux stellt über die Gerätedateien /dev/random und /dev/urandom User-Space-Programmen eine Schnittstelle zu seinem Zufallszahlengenerator (LRNG) bereit. Dessen Funktionen, Eigenschaften und Nutzung werden im Rahmen dieser Analyse untersucht. Dazu gehören u. a. die Entropiegewinnung (d. h. Entropiequellen und deren Gerätetreiber), die Durchmischungs- und Ausgabefunktion des Linux-eigenen Entropiepools sowie die Übergabe an den User-Space (z. B. zu Anwendungsprogrammen). Von besonderem Interesse ist bei dieser Untersuchung neben der Untersuchung der algorithmischen Anteile des LRNG die Abschätzung der Entropie der in den LRNG einfließenden Rohdaten: Es soll die Frage geklärt werden, ob der LRNG in der Lage ist, 100 Bit Entropie zeitnah, d.h. auch nach einem Systemstart, bereitzustellen.