El OpenBSD Cryptographic Framework ( OCF ) es una capa de virtualización de servicios para la gestión uniforme del hardware criptográfico por parte de un sistema operativo . Es parte del Proyecto OpenBSD , habiéndose incluido en el sistema operativo desde OpenBSD 2.8 (diciembre de 2000). Como otros proyectos de OpenBSD como OpenSSH , ha sido portado a otros sistemas basados en Berkeley Unix como FreeBSD y NetBSD , y a Solaris y Linux . [1] [2] Uno de los puertos de Linux es compatible con Intelpara su uso con su software y hardware criptográfico patentado para proporcionar cifrado SSL acelerado por hardware para el servidor HTTP Apache de código abierto . [3]
Fondo
La criptografía es computacionalmente intensiva y se utiliza en muchos contextos diferentes. Las implementaciones de software a menudo sirven como un cuello de botella para el flujo de información o aumentan la latencia de la red . El hardware especializado, como los aceleradores criptográficos, puede mitigar el problema de los cuellos de botella introduciendo el paralelismo . Ciertos tipos de hardware, generadores de números aleatorios de hardware , también pueden producir aleatoriedad de manera más confiable que un algoritmo de software pseudoaleatorio al explotar la entropía de los eventos naturales. [ cita requerida ]
A diferencia de las aplicaciones gráficas, como los juegos y el procesamiento de películas, donde los aceleradores de hardware similares son de uso común y tienen un fuerte soporte del sistema operativo, el uso de hardware en criptografía ha tenido una aceptación relativamente baja. [ cita requerida ] A fines de la década de 1990, existía la necesidad de una capa de sistema operativo uniforme para mediar entre el hardware criptográfico y el software de aplicación que lo usaba. La falta de esta capa llevó a la producción de aplicaciones que estaban codificadas para trabajar con uno o una gama muy pequeña de aceleradores criptográficos.
El Proyecto OpenBSD, que tiene un historial de integración de criptografía sólida y cuidadosamente auditada en el núcleo de su sistema operativo, produjo un marco para la provisión de aceleración de hardware criptográfico como un servicio del sistema operativo.
/ dev / crypto
El soporte a nivel de aplicación se proporciona a través del pseudodispositivo / dev / crypto , que proporciona acceso a los controladores de hardware a través de una interfaz ioctl estándar . Esto simplifica la escritura de aplicaciones y elimina la necesidad de que el programador de aplicaciones comprenda los detalles operativos del hardware real que se utilizará. [4]
Implicaciones para otros subsistemas
La implementación de OpenBSD de IPsec , el protocolo de cifrado a nivel de paquete, se modificó para que los paquetes se puedan decodificar en lotes, lo que mejora el rendimiento . Una razón fundamental para ello es maximizar la eficiencia del uso del hardware (lotes más grandes reducen la sobrecarga de transmisión del bus), pero en la práctica, los desarrolladores de IPsec han descubierto que esta estrategia mejora la eficiencia incluso de las implementaciones de software.
Muchos concentradores de firmware Intel en placas base i386 proporcionan un generador de números aleatorios de hardware y, cuando es posible, esta función se utiliza para proporcionar entropía en IPsec.
Dado que OpenSSL utiliza OCF, los sistemas con hardware que admita los protocolos criptográficos RSA , DH o DSA utilizarán automáticamente el hardware sin ninguna modificación del software.
Se investigan las denuncias clandestinas
El 11 de diciembre de 2010, un antiguo contratista del gobierno llamado Gregory Perry envió un correo electrónico al líder del proyecto OpenBSD, Theo de Raadt, alegando que el FBI había pagado a algunos ex desarrolladores de OpenBSD 10 años antes para comprometer la seguridad del sistema, insertando "una serie de puertas traseras y mecanismos de fuga de llave de canal lateral en el OCF ". Theo de Raadt hizo público el correo electrónico el 14 de diciembre enviándolo a la lista de correo de openbsd-tech y sugirió una auditoría del código base de IPsec . [5] [6] La respuesta de De Raadt fue escéptica con respecto al informe e invitó a todos los desarrolladores a revisar de forma independiente el código relevante. En las semanas siguientes, se corrigieron errores, pero no se encontró evidencia de puertas traseras. [7]
Producto Solaris con un nombre similar
El sistema operativo propiedad de Oracle Solaris (desarrollado originalmente por Sun ) incluye un producto no relacionado llamado Solaris Cryptographic Framework, un sistema de complemento para algoritmos criptográficos y hardware.
Ver también
Referencias
- ^ Linux-cryptodev Archivado el 20 de marzo de 2012 en la Wayback Machine.
- ^ Keromytis, Wright, de Raadt y Burnside, Criptografía como servicio de sistema operativo: un estudio de caso , Transacciones de ACM en sistemas informáticos, Vol 23, No 1, febrero de 2006, páginas 1-38, PDF
- ^ Intel Corporation, 2008, OpenSSL y Apache - Software
- ^ crypto (4) en el manual de OpenBSD
- ↑ de Raadt, Theo (14 de diciembre de 2010). "Alegatos sobre OpenBSD IPSEC" . openbsd-tech (lista de correo).
- ^ Holwerda, Thom (2010-12-14), "El FBI agregó puertas traseras secretas a OpenBSD IPSEC" , OSNews , consultado el 13 de diciembre de 2011
- ^ Ryan, Paul (2010-12-23), "La auditoría de código de OpenBSD descubre errores, pero no hay evidencia de puerta trasera" , Ars Technica , Condé Nast Digital , consultado el 9 de enero de 2011
enlaces externos
- Criptografía en OpenBSD , documento de descripción general proporcionado por el proyecto OpenBSD.
- Proyecto OCF Linux .