EC2クラウドの/ dev / random
は/dev/random AWS EC2で、安全なチャネルを介して渡される共有キーを作成するために役立つものはありますか?起動されたインスタンスが最初はあまりエントロピーを持っていないのではないかと心配しています。エントロピーを高めるためにランダムなEBS遅延を取得するためにそれを数分間遅延させるとどうなりますか?
編集:
notこれらのインスタンスにログインします。 1つのインスタンスがキーを生成し、それを(16進数で)タグに配置します。別のインスタンスはそのタグからキーを取得し、それらの間にVPNを設定します。タグへの/からのパスがhttpsであるにもかかわらず、これにPKCを使用する方法がある可能性があります。これは、AWSがログインパスワードに依存しています。
edit2:
eC2 APIにアクセスするタイミングも、エントロピーの別の原因になると思います。
クラウドマシンとランダム性の潜在的な問題は、VMクローニング;です。 this を参照してください。まともなLinuxシステムは、クラウド内にあるかどうかに関係なく、ブート後の任意の時点で/dev/urandomから高品質のランダム性を生成できます。ただし、VMのクローンが作成されている場合、2つのマシンは同じ内部状態で起動し、OSに含めることができる安全メカニズムはありません。これは、定義上、ゲストOSはクローンを認識しません。
Amazonにとって、新しくクローンされた各インスタンスで新鮮なランダム性をプッシュすることは技術的に実現可能です(クローン内の「シードファイル」を更新するだけで十分です)。彼らがそれをするかどうかはわかりません。そうでない場合(または、そうしたことを示す文書が見つからない場合)は、自分で再シードする必要があります。数分間のネットワークアクティビティを待つだけで十分なエントロピーが注入されますが、自分で強制する方が高速であり、間違いなく安全です。ラップトップ/デスクトップからSSHを介してAmazon EC2インスタンスにアクセスしていて、ラップトップ/デスクトップもLinuxを使用していると仮定すると、これを行うのは簡単です。
dd if=/dev/urandom bs=20 count=1 | ssh TheEC2MachineName 'cat > /dev/random'
ほら! VMエントロピープールに追加された20バイトの強力なランダム性。すぐにVMですべての暗号処理を続行できます。