OpenBSD 암호화 프레임워크

OpenBSD Cryptographic Framework(OCF)는 운영체제에 의한 암호 하드웨어의 통일된 관리를 위한 서비스 가상화 계층이다.그것은 OpenBSD 2.8 (2000년 12월) 이후 운영 체제에 포함되었던 OpenBSD 프로젝트의 일부분이다.OpenSSH와 같은 다른 OpenBSD 프로젝트와 마찬가지로 FreeBSD, NetBSD 등 버클리 유닉스를 기반으로 하는 다른 시스템과 Solaris, Linux에 포팅되어 있다.^[1]^[2]리눅스 포트 중 하나는 Intel이 오픈 소스 Apache HTTP 서버에 하드웨어 가속 SSL 암호화를 제공하기 위해 독점 암호화 소프트웨어 및 하드웨어와 함께 사용하도록 지원한다.^[3]

배경

암호학은 계산적으로 집약적이며 많은 다른 맥락에서 사용된다.소프트웨어 구현은 종종 정보 흐름의 병목 현상으로 작용하거나 네트워크 지연 시간을 증가시킨다.암호 가속기와 같은 전문 하드웨어는 병렬화를 도입하여 병목 문제를 완화할 수 있다.특정 종류의 하드웨어, 하드웨어 난수 생성기는 자연 사건의 엔트로피를 이용하여 의사 무작위 소프트웨어 알고리즘보다 더 신뢰성 있게 무작위성을 생산할 수 있다.^{[citation needed]}

유사한 하드웨어 가속기가 공통적으로 사용되며 강력한 운영체제 지원을 받는 게임, 필름 처리 등 그래픽 애플리케이션과 달리, 암호화에 있어서의 하드웨어의 활용은 상대적으로 저조한 편이다.^{[citation needed]}1990년대 후반까지는 암호 하드웨어와 그것을 사용하는 응용 소프트웨어 사이에서 조정하기 위한 통일된 운영 체제 계층이 필요했다.이 계층의 부족은 하나 또는 아주 작은 범위의 암호 가속기와 함께 작동하도록 하드 코딩된 애플리케이션의 생산으로 이어졌다.

강력하고 세심하게 감사된 암호화를 운영체제의 코어에 통합한 이력이 있는 OpenBSD Project는 운영체제 서비스로서 암호 하드웨어 가속화를 제공하는 프레임워크를 생산했다.

/dev/dvo

유사 장치를 통해 애플리케이션 레벨 지원 제공/dev/provo. 표준 ioctl 인터페이스를 통해 하드웨어 드라이버에 대한 액세스를 제공한다.이는 애플리케이션의 작성을 단순화하고 애플리케이션 프로그래머가 사용될 실제 하드웨어의 운영상세를 이해할 필요가 없어진다.^[4]

다른 하위 시스템에 대한 영향

오픈B패킷 수준 암호화 프로토콜인 IPsec의 SD 구현이 패킷을 일괄 해독할 수 있도록 변경되어 처리량이 향상되었다.이에 대한 한 가지 근거는 하드웨어 사용의 효율성을 극대화하는 것이다. 즉 일괄 처리로 버스 전송 오버헤드를 줄일 수 있다는 것이다. 그러나 실제로 IPsec 개발자들은 이 전략이 소프트웨어 구현의 효율을 향상시킨다는 것을 발견했다.

i386 마더보드의 많은 Intel 펌웨어 허브는 하드웨어 난수 생성기를 제공하며, 가능한 경우 이 설비는 IPsec에서 엔트로피를 제공하는 데 사용된다.

OpenSSL은 OCF를 사용하기 때문에 RSA, DH 또는 DSA 암호화 프로토콜을 지원하는 하드웨어를 갖춘 시스템은 소프트웨어를 수정하지 않고 자동으로 하드웨어를 사용할 것이다.

백도어 혐의 조사

2010년 12월 11일, 전 정부 계약자인 그레고리 페리는 오픈BSD 프로젝트 리더 테오 드 라트에게 "FBI가 시스템의 보안을 위태롭게 하기 위해 10년 전에 일부 오픈BSD 개발자들에게 돈을 지불했다"고 주장하는 이메일을 보내, "여러 백도어와 사이드 채널 키 누출 메커니즘"을 OCF에 삽입했다.Teo de Raadt는 12월 14일 e-메일을 openbsd-tech 메일링 리스트에 전달하여 공개하고 IPsec 코드베이스에 대한 감사를 제안했다.^[5]^[6]De Raadt의 반응은 보고서에 회의적이었고 그는 모든 개발자들을 초대하여 관련 코드를 독립적으로 검토하도록 했다.그 후 몇 주 동안 벌레는 고쳤지만 백도어의 흔적은 발견되지 않았다.^[7]

비슷한 이름의 Solaris 제품

Oracle의 독점 운영 체제 Solaris(원래 Sun이 개발)는 암호 알고리즘과 하드웨어를 위한 플러그인 시스템인 Solaris Cryptographic Framework라고 하는 관련 없는 제품을 특징으로 한다.

참고 항목

참조

^ Linux-cryptodev Wayback Machine에 2012-03-20 아카이브
^ Keromytis, Wright, de Raadt 및 Burnside, Cryptography As As An Operating System Service: 사례 연구, 컴퓨터 시스템에 대한 ACM Transactions, Vol 23, 2006년 2월 1일, 1-38페이지, PDF
^ Intel Corporation, 2008, OpenSSL 및 Apache--소프트웨어
^ OpenBSD 매뉴얼의 암호화(4)
^ de Raadt, Theo (2010-12-14). "Allegations regarding OpenBSD IPSEC". openbsd-tech (Mailing list).
^ Holwerda, Thom (2010-12-14), "FBI Added Secret Backdoors to OpenBSD IPSEC", OSNews, retrieved 2011-12-13
^ Ryan, Paul (2010-12-23), "OpenBSD code audit uncovers bugs, but no evidence of backdoor", Ars Technica, Condé Nast Digital, retrieved 2011-01-09

외부 링크

OpenBSD의 암호화, OpenBSD 프로젝트에서 제공하는 개요 문서.
OCF 리눅스 프로젝트.

[linux-cryptodev-1] Linux-cryptodev Wayback Machine에 2012-03-20 아카이브

[keromytis-2] Keromytis, Wright, de Raadt 및 Burnside, Cryptography As As An Operating System Service: 사례 연구, 컴퓨터 시스템에 대한 ACM Transactions, Vol 23, 2006년 2월 1일, 1-38페이지, PDF

[intel-3] Intel Corporation, 2008, OpenSSL 및 Apache--소프트웨어

[dev-crypto-4] OpenBSD 매뉴얼의 암호화(4)

[allegations-ipsec-5] Raadt, Theo (2010-12-14). "Allegations regarding OpenBSD IPSEC". openbsd-tech (Mailing list).

[osnews-ipsec-6] Holwerda, Thom (2010-12-14), "FBI Added Secret Backdoors to OpenBSD IPSEC", OSNews, retrieved 2011-12-13

[no-ipsec-backdoor-7] Ryan, Paul (2010-12-23), "OpenBSD code audit uncovers bugs, but no evidence of backdoor", Ars Technica, Condé Nast Digital, retrieved 2011-01-09

[1]

[2]

[3]

[4]

[5]

[6]

[7]

Search