Titelaufnahme

Gute Zufallszahlen sind eine Voraussetzung für die Sicherheit von Daten in Behörden und Unternehmen; sie werden insbesondere bei der Erzeugung von Schlüsseln für die bei Übertragung und Speicherung sensitiver Daten eingesetzten kryptographischen Verfahren benötigt. Mit dem zunehmenden Einsatz virtueller Maschinen, vor allem in Cloud-basierten Lösungen, stellt sich die Frage, ob auch hier Zufallszahlen von ausreichender Qualität bereitgestellt werden können. In einer Studie des BSI wurde daher untersucht, wie die Virtualisierung die Entropie der Rauschquellen, die die Zufallszahlengeneratoren speisen, beeinflusst, und was getan werden kann, um die Versorgung der virtuellen Maschinen (VM) mit genügend Zufall sicherzustellen. Exemplarisch wurde dabei der quelloffene Zufallszahlengenerator von Linux in virtuellen Maschinen untersucht, die auf verschiedenen virtuellen Maschinenmonitoren (VMM) wie KVM, VirtualBox, Microsoft Hyper-V und VMWare ESXi liefen. Im Ergebnis war in allen Kombinationen bei entsprechender Konfiguration eine ausreichende Entropie-Versorgung der Linux-VMs möglich. Unterschiedliche Rauschquellen erfüllten ihre Aufgabe allerdings unterschiedlich gut, so dass sich je nach Einsatzszenario durchaus Probleme ergeben können, zum Beispiel für die Qualität der Zufallszahlen kurz nach dem Systemstart. Mit einem Fragenkatalog werden Anwender daher in die Lage versetzt, selbst zu analysieren, ob solche Probleme auf sie zukommen und vorab die kritischen Informationen von ihrem Systemlieferanten einfordern. Prinzipiell müssen Anwender ihrem VMM (und dessen Betreiber) vertrauen und sollten sich nicht auf eine einzige Rauschquelle verlassen. Software-basierte Rauschquellen, die Hardware-Unterstützung für ihre Entropiegewinnung brauchen, können am ehesten problematisch sein und müssen daher am genauesten auf ihre Eignung für die Einsatzumgebung geprüft werden ...