Font Size

Cpanel

BSI veröffentlicht Studie zur Analyse der Zufallserzeugung in virtualisierten Umgebungen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 22. Dezember 2016 eine Studie zur Kryptographie in virtualisierten Umgebungen veröffentlicht. Darin wird die Qualität der Zufallszahlenerzeugung von Betriebssystemen in virtuellen Maschinen untersucht. Zufallszahlen sind unter anderem für die Erzeugung kryptographischer Schlüssel erforderlich, welche beispielsweise bei der Übertragung und Speicherung sensitiver Daten eingesetzt werden. 

Die Studie mit dem Titel „Analyse der Zufallszahlenerzeugung in virtualisierten Umgebungen“ richtet sich insbesondere an IT-Experten wie Evaluierer oder Entwickler von sicheren Systemen. Im Fokus der Untersuchung stand der quelloffene Linux-Zufallsgenerator, der exemplarisch im Zusammenhang mit vier bekannten Virtualisierungslösungen (KVM, VirtualBox, Microsoft Hyper-V und VMWare ESXi) untersucht wurde. Dabei wurde bewertet wie die Virtualisierung die Entropie der Rauschquellen für die Zufallszahlengeneration beeinflusst. Zwar wurden keine konkreten Schwachstellen entdeckt, aber unterschiedliche Rauschquellen lieferten unterschiedlich gute Ergebnisse, die je nach Einsatzszenario problematisch sein könnten, beispielsweise kurz nach dem Systemstart. Hierbei seien Software-basierte Rauschquellen, die Hardware-Unterstützung für die Entropiegewinnung benötigen, eher problematisch. Vollständig Software-basierte Rauschquellen, die hochauflösende Zeitstempel zu Systemereignissen auswerten, würden dagegen genauso gut oder sogar besser als in nicht-virtualisierten Umgebungen laufen.

Die Studie ist kostenlos über die Webseite des BSI zugänglich. Neben der etwa 17-seitigen Studie in Deutsch ist auch ein ausführlicher technischer Anhang in Englisch verfügbar. Weitere Informationen können der Ankündigung des BSI entnommen werden.