Debian/OpenSSL灾难的教训

发布于2008年5月21日星期三。

上周，Debian在2006年9月宣布他们意外地破坏了OpenSSL伪随机数生成器试图让Valgrind的警告保持沉默。这样做的一个影响是ssh-密钥程序安装在最新的Debian系统上（以及像Ubuntu这样的Debian-derived系统）只能生成给定类型和大小的32767个不同SSH密钥，所以有很多人和同样的钥匙.

许多人都被指责过，但谁犯了这个错误并不真正有趣：每个人犯错误。有趣的是这种情况鼓励犯错误，这使它成为可能近两年来都没有注意到。

要做到这一点，您必须了解所涉及的代码和错误的详细信息；这些需要理解一点关于熵和随机数生成器。

熵

熵是衡量一段数据令人惊讶程度的指标。Jon Lester没有在昨晚的红袜队比赛中投球，但是这并不奇怪，他只在每五场比赛中投球，所以大多数他不投球的夜晚。然而，在周一晚上，他确实投球了，并且（令人惊讶的是）投了一个反对票。赛前没有人预料到这一点：这是一个高熵事件。

熵可以用比特来衡量：一个完美的硬币翻转产生1比特的熵。一个有偏见的硬币产生的收益更少：投掷一个上来的硬币时只有25%的收益时间只为尾部产生约0.4比特，为头部产生约2比特，或平均0.8比特的熵。确切的细节并不太重要。重要的是熵是对数据的不可预测性。

理想的随机字节序列熵等于它的长度，但大多数时候我们必须用低熵序列凑合一下。例如，今年美国职业大联盟无提名者的日期将是非常不可预测的序列，但也很短。另一方面，收集莱斯特推荐的日期今年的红袜队是可以预见的基本上每五天一次，但仍有意外事件发生比如受伤和下雨，这些都是不可预测的。no-hitter序列非常不可预测，但非常短。莱斯特的首发顺序只是有点不可预测，但太多了总熵越长。

计算机面临着同样的问题：它们可以访问长时间低熵（大多可预测）源，如设备中断或从声卡或视频卡进行静态采样，但它们需要高熵（完全不可预测）的字节序列，其中每一位完全不可预测。要将前者转换为后者，需要一个安全的伪随机数字生成器使用作为“熵榨汁器”的确定性函数这需要大量的低熵数据，称为熵池，然后挤压生产少量的高熵随机字节序列。确定性程序不能产生熵，所以出来的熵不能大于熵的量生成器刚刚将熵池压缩为更集中的形式。加密散列函数，如MD5和SHA1事实证明，这是一款很好的熵榨汁机。它们让每个输入位对每个输出位，因此无论哪个输入位是在不可预测的情况下，输出具有一致的高熵。（事实上，这就是哈希函数的本质，这就是为什么密码学家只是说散列函数，而不是像熵榨汁机这样的虚构术语。）

熵的坏处在于你不能测量它，除非在上下文中：如果您读取32位数字从/开发/随机就像我刚才做的那样，你可能会对4016139919感到满意，但如果你再读十遍，你会不高兴的继续领取4016139919。（从技术上讲，最后一句话完全有缺陷，但你明白了。另请参见这个漫画和这个漫画.)熵榨汁机的优点是只要有池中某处的熵，他们会把它提取出来。向池中添加更多数据也无妨：它会增加集体熵，否则就没有效果。

开放SSL

OpenSSL实现了这样一个基于散列的熵榨汁器。它提供了一个功能RAND_add（buf，n，e）添加了一个长度缓冲器n个和熵e（电子）到熵池。在内部，入口池只是一个MD5或SHA1哈希状态：RAND_添加电话MD_更新添加字节到正在运行的哈希计算。参数e（电子）是由调用者关于中包含的熵缓冲器.OpenSSL使用它来保持对总金额的持续估计缓冲区中的熵。OpenSSL还提供了RAND_字节（buf，n）那个返回高熵随机字节序列。如果运行估计表明不足池中的熵，RAND_字节返回错误。这是完全合理的。

OpenSSL中特定于Unix的代码为熵榨汁机提供了种子用一些狡猾的代码。的本质RAND_轮询在里面rand_unix（通用）。c（c）是（我的话）：

char buf[100]；fd=打开（“/dev/random”，O_RDONLY）；n=读取（fd，buf，sizeof buf）；闭合（fd）；RAND_add（buf，大小buf，n）；

请注意RAND_添加对…说使用整个缓冲区，但仅预期n个字节熵。RAND_加载文件做类似的从文件中读取时，会出现未初始化的引用明确标记为故意（实际代码）：

i=弗雷德（buf，1，n，in）；如果（i<=0）中断；/*即使n！=i、 使用完整数组*/RAND_ad（buf，n，i）；

这里的理由是包括未初始化的片段在缓冲区的末尾，实际可能会增加熵，无论如何，诚实地说声称的熵量不会打破熵池估计。

同样，函数RAND_字节（buf，n）,其主要目的是获取n个高熵来自榨汁机的字节，添加缓冲器到熵池（其行为类似RAND_add（buf，n，0）)在它填满之前缓冲器.

那么，至少在三个不同的地方，OpenSSL开发人员明确选择使用未初始化的缓冲区作为可能的熵源。虽然这在理论上是可以辩护的（不会造成伤害），这主要是伏都教和一厢情愿思想的结合，这使得代码难以理解和分析。

特别是RAND_字节惯例原因每个呼叫站点的问题如下：

char buf[100]；n=RAND_bytes（buf，大小buf）；

这个成语在Valgrind（和它的商业表亲Purify）中引起了很多警告有一个#ifdef（如果定义）要关闭该行为，请执行以下操作：

#ifndef净化MD_更新（&m，buf，j）；/*purify投诉*/#结尾

其他两种情况很少发生：在里面RAND_轮询，必须有一个从中读取/开发/随机什么时候内核几乎没有多余的随机性，或致电RAND_加载文件在文件上据报道只有一种尺寸斯达但是在中返回的字节数较少阅读.当它们发生时MD_更新,里面的那个RAND_添加，在堆栈跟踪上由Valgrind报道。

Debian公司

Debian维护人员面临Valgrind的使用报告调用时未初始化的数据MD_更新,它用于将缓冲区混合到内部的熵池中二者都RAND_添加和RAND_字节.通常，您可能会在调用堆栈中查找得更远，但有多个实例，具有不同的调用方。唯一常见的部分是MD_更新.自从第二次MD_更新已经知道了是非本质的-它可以安全地禁用以在Purify-it下运行理所当然地认为，第一个可能也是不必要的。每个调用的上下文看起来基本相同（源代码因素考虑得不太好）。

Debian维护人员知道他不理解代码，所以他寻求帮助上开放ssl-dev邮件列表：

主题：随机数生成器、未初始化数据和valgrind。日期：2006-05-01 19:14:00使用valgrind，它可以显示关于执行条件基于统一值的跳跃。这些统一化的价值观是在随机数生成器中生成。它添加了一个池的未初始化缓冲区。有问题的代码如下2crypto/rand/md_rand.c中的代码片段：247:MD_更新（&m，buf，j）；467:#ifndef净化MD_更新（-m，buf，j）；/*purify投诉*/#结尾由于瓦尔格林的工作方式（以及必须工作的方式）首先使用单位化价值的地方，是报告的错误可能完全不同，也可能是很难找到问题所在。...我目前认为最好的选择是实际发表意见这两行代码。但我不知道这有什么影响真的对RNG有影响。我看到的唯一影响是游泳池可能接收较少的熵。但另一方面，我甚至没有确定一些统一化数据的熵有多大。你们觉得删除这两行代码怎么样？

他得到了两个实质性的答复。第一个回复来自电子邮件地址openssl.org网站谁似乎是开发人员之一：

列表：openssl-dev主题：回复：随机数生成器、未初始化数据和valgrind。日期：2006-05-01 22:34:12>我目前认为最好的选择是实际发表意见>这两行代码。但我不知道这有什么影响>真的对RNG有影响。我看到的唯一影响是游泳池>可能会收到较少的熵。但另一方面，我甚至没有>确定一些统一化数据的熵有多大。>不多。如果它有助于调试，我支持删除它们。（然而，我最后一次检查时，瓦尔格林德报告了数千个虚假信息错误消息。情况好转了吗？）

第二个来自不在openssl.org网站谁回答了开发者的问题：

列表：openssl-dev主题：Re:随机数生成器，未初始化的数据和valgrind。日期：2006-05-02 6:08:10>不多。如果它有助于调试，我支持删除它们。>（然而，我最后一次检查时，瓦尔格林德报告了数千个虚假信息>错误消息。情况好转了吗？）我最近用-DPURIFY=1在Debian上编译了vanilla OpenSSL 0.9.8a带有valgrind版本3.1.1的GNU/Linux“sid”能够调试一些应用程序同时使用TLS/SSL作为S/MIME而没有任何警告或错误关于OpenSSL代码。没有-DPURIFY你真的被淹没了警告。所以是的，我认为不要使用未初始化的内存（它只是一个行，另一个事件已经被注释掉）帮助了valgrind。

两者本质上都是说，“继续，删除MD_更新行。”Debian维护人员这样做了，导致RAND_添加不添加对熵池进行任何操作，但仍会更新熵估计。还有其他MD_更新调用没有使用缓冲器，而这些仍然存在。唯一的一个那有点不可预测RAND_字节在每次调用时将当前进程ID添加到熵池中。这就是为什么OpenSSH仍然可以生成32767个可能的SSH密钥指定类型和大小（每个pid一个），而不是一个。

故障级联

就像任何真正的惨败一样，一连串的错误决策所有人都排好队来实现这一目标：

• OpenSSL代码太聪明了一半。故意未初始化内存引用模糊了代码并使其难以测试真正的bug。
• OpenSSL代码组织得不是很好。两者都有代码RAND_添加和RAND_字节要更新熵，而不是将该功能分解到一个位置。一个实例并不重要，这让它看起来很像就像另一个例子不重要一样。
• OpenSSL代码的偏执隐藏了Debian引入的错误。在每次调用时将pid放入熵池随机字节（_B）实际上并没有帮助创建熵，但它确实让bug继续存在Debian版本完全确定。如果它是完全确定的，那么bug可能早就被注意到了，可能早在很久以前它得到了稳定的释放。
• Debian维护人员请求帮助处理他没有提供的代码理解，但他在OpenSSL列表中的帖子片段没有足够的上下文来理解MD_更新调用确实在代码中。每次通话都要显示几行字情况更清楚，因为这两个代码段看起来很漂亮类似。提及包含每个函数的函数名称打电话可能会有帮助。
• OpenSSL开发人员的响应可能不正确没有真正查看代码以查看哪些调用正在被谈论。#ifdef PURIFY的存在在一个电话上，很可能很容易假设另一个电话也同样不重要。

阅读各种博客，你会发现各种相关方的情报被侮辱了，但这真的是过程的失败，而不是智慧的失败。维护人员知道他不是中的代码专家问题，向专家寻求帮助，却得到了不好的信息。

经验教训

在过去的十年里，我花了很多时间来维护这两者计划9和aPlan 9软件到Unix的端口.我编辑了很多我不完全理解的代码，我已经回答了一些关于我理解的代码的问题当其他人来问的时候。我在编辑过程中犯了不少尴尬的错误不熟悉的代码，我可能已经给出了我的份额无意中错误的建议。即使是最好的程序员也总是会犯错误。惨败的教训，对我来说，可以采取哪些步骤来犯错误频率更低，更容易找到。

对我来说，我学到的教训是：

• 尽量不要写聪明的代码。尝试编写组织良好的代码。
• 不可避免的是，您将编写聪明、组织混乱的代码。如果有人来问这个问题，用它来表示代码可能太聪明了，或者组织得不够好。把它改写得更简单、更容易理解。
• 避免巫毒代码。多次将变量归零，例如，现在不影响正确性，但它确实使代码更难理解并且容易在没有注意的情况下打破。
• 邮件列表讨论并不能替代真正的代码审查。人们在疲倦或出门时回复电子邮件。代码审查应该是彻底的和经过考虑的。显示前后的并排文件差异的版本md_土地。c（c）OpenSSL开发人员因为真正的代码审查可能会发现错误。
• Debian等发行版必须维护自己的一些程序至少是暂时的。这是不可避免的，因为并非所有项目都会在Debian的时间限制下运行。但我很惊讶OpenSSL开发人员没有跟进一旦创建了补丁，就试图让他们接受它主树。这也可能引发代码审查。如果失败了，我很惊讶Debian没有一个工程师它是为了理解OpenSSL和其他安全关键代码并在正式程序中审查当地的变化。

在我自己的软件维护中，我想我正在做一个前三节做得很好，但不是很好最后两个。对于一个低调的人来说，这样说很诱人像计划9这样的项目，实际上并不需要它们，但更重要的是很可能是懒惰而不是事实。

链接和注释

这里是Debian公告.我还没有看到任何关于卢西亚诺·贝洛是如何发现这只虫子的报道。如果你这样做了，请发表评论。

这是一份原件Debian错误报告关于Valgrind的投诉。原来的海报实际上有一个正确的修正；维护者错误地（但合理地）争辩因为还有其他情况也会导致未初始化的引用，bug必须位于RAND_添加自身。

我一直在说RAND_添加和RAND_字节,但在代码中，实际功能是ssleay_rand_添加和ssleay_rand_字节，英寸md_土地。c（c）.后者用作前者的实现。RAND_轮询在中rand_unix（通用）。c（c）、和RAND_加载文件在中随机文件。c（c）.