[OpenBSD]


"Heslem jakéhokoliv dobrého bezpečnostního inženýra je: "Bezpečnost není produkt, ale proces." Je to více než navržení silné kryptografie do systému, je to navržení celého systému tak, že všechny stupně bezpečnosti,včetně kryptografie spolupracují dohromady."

-- Bruce Schneier, autor "Applied Cryptography".

Kryptografie


Obsah
Proč integrujeme kryptografii?
OpenSSH
Pseudo Random Number generátory (PRNG): ARC4, ...
Kryptografické hash funkce: MD5, SHA1, ...
Kryptografické transformace: DES, Blowfish, ...
Podpora kryptografického hardware
Hledáme kryptografické odborníky z celého světa
Další informace


Proč integrujeme kryptografii?

Třemi slovy: Protože my můžeme.

OpenBSD projekt sídlí v Kanadě.

Export Control List of Canada neomezuje export kryptografického software a je dokonce více otevřený pro export volně dostupného kryptografického software. Marc Plumb provedl výzkum k otestování kryptografických zákonů.

Z toho důvodu OpenBSD projekt použil kryptografii na několika místech v operačním systému. Požadujeme,aby kryptografický software,který používáme byl volně dostupný a s dobrou licencí. Nepoužíváme kryptografii s odpornými patenty.Také požadujeme, že tento software je ze zemí s použitelnou exportní licencí, protože nechceme porušovat zákony jakékoliv země. Komponenty kryptografického software,který aktuálně používáme byly napsány v Argentině, Austrálii, Kanadě, Německu, Řecku, Norsku a Švédsku.

Když vytváříme release nebo snapshot, tak sestavujeme jejich binární verze ve svobodných zemích abychom zajistili, že zdroje a binárky, které poskytujeme uživatelům jsou bez poskvrny. V minulosti byly naše vydané binární buildy udělány v Kanadě, Švédsku a Německu.

OpenBSD je vydáván s Kerberos V. Kód který používáme je exportovatelný Heimdal ze Švédska. Naše X11 zdroje byly rozšířeny tak, aby mohli také používat Kerberos.

VPNC TEST PARTNER OpenBSD byl první operační systém distribuovaný s IPsec stackem. Poskytujeme IPsec od vydání OpenBSD 2.1 v roce 1997. Náš plně do kernelu integrovaný IPsec stack s hardware akcelerací použitou na několika kartách a naším vlastním ISAKMP daemonem je používán jako jeden z počítačů v testu IPsec conformance u VPNC.

Dnešní kryptografie je důležitou částí zvýšení bezpečnosti operačního systému.Kryptografie použitá v OpenBSD může být použita pro mnoho různých služeb popsaných dále.

OpenSSH

Od verze 2.6 , OpenBSD obsahuje OpenSSH, zcela bezplatnou a patenty nezanešenou verzi ssh. OpenSSH je kompatibilní s ssh verze 1 a má mnoho přidaných vlastností,

Zhruba řečeno jsme vzali volně vydanou verzi ssh a OpenBSD-fikovali jsme ji.Asi o rok později jsme OpenSSH rozšířili o podporu SSH protokolu verze 2.Výsledkem je podpora všech 3 hlavních protokolů pro SSH: 1.3, 1.5, 2.0

Pseudo Random Number generátory

Pseudo Random Number generátory (PRNG) jsou aplikace s proudy čísel, které mají důležité vlastnosti pro systémovou bezpečnost:

PRNG je normálně pouze algoritmus, kde stejné počáteční hodnoty poskytují stejné sekvence výstupu. Na víceuživatelském operačním systému je mnoho zdrojů, které dovolují naplnit PRNG náhodnými daty. OpenBSD jádro využívá přerušení od myši, zpoždění při přenosu síťových dat, pauz mezi stisknutím kláves a I/O informace z disku k vyplnění počátečního zásobníku.Náhodná čísla z PRNG jsou k dispozici pro rutiny jádra a jsou exportovány přes zařízení k uživatelským programům.Takže náhodná čísla z PRNG jsou používána v následujících oblastech:

Kryptografické hašovací funkce

Hašovací funkce provede kompresi vstupních dat na řetězec konstantní délky.Pro kryptografickou hašovací funkci je nemožné najít:

V OpenBSD jsou použity MD5, SHA1 a RIPEMD-160 pro kryptografické hašovací funkce, např.:

Kryptografické transformace

Kryptografické transformace jsou použity pro šifrování a dešifrování dat. Tyto jsou běžně používány se šifrovacím klíčem pro šifrování dat a dešifrovacím klíčem pro dešifrování dat.Bezpečnost krypto- grafické transformace má záviset pouze na klíčích.

OpenBSD poskytuje transformace jako DES, 3DES, Blowfish a Cast pro jádro a uživatelské programy,jež jsou používány na mnoha místech jako:

Podpora kryptografického hardware

OpenBSD od verze 2.7 začalo podporovat vybraný kryptografický hardware jako například akcelerátory a random number generátory.

Pokud chcete pomoci s psaním ovladačů, přijďte a pomozte nám.

Hledáme kryptografické odborníky z celého světa

Samozřejmě,že náš projekt potřebuje lidi k práci na těchto systémech.Pokud je nějáký ne-americký odborník,který souhlasí s výše popsaným,má zájem o zapojení do projektu a poskytnout pomoc s kryptografií v OpenBSD,tak ať nás prosím kontaktuje.

Další informace

Mnoho dokumentů bylo napsáno členy OpenBSD týmu o kryptografických změnách, které udělali v OpenBSD.Postscript verze těchto dokumentů jsou k dispozici níže.


OpenBSD www@openbsd.org
$OpenBSD: crypto.html,v 1.33 2009/11/08 22:09:17 tobias Exp $