安全领域中未被察觉的引擎：深入探讨系统熵值收集

在我们的数字世界中，我们依赖于秘密。您的电子邮件密码、加密您的财务交易的密钥、让您登录服务的会话令牌——所有这些都只有在保持不可预测时才具有价值。如果对手可以猜测您的下一个“秘密”，它就根本不是秘密了。这种不可预测性的核心在于信息论和物理学的一个基本概念，被重新用于计算：熵。

对于计算机科学家或安全专业人士来说，熵是衡量随机性、意外性的指标。它是密码学的命脉，也是我们数字身份的无声守护者。但我们这些由确定性、逻辑驱动的机器在哪里找到这种必要的混乱呢？一台建立在可预测的 1 和 0 基础上的计算机如何产生真正的不可预测性？

这次深入探讨将阐明熵值收集这一引人入胜且常常是隐形的过程。我们将探索操作系统从物理世界中收集随机性的巧妙方法、它们如何管理它，以及为什么理解这个过程对于构建、管理或保护现代计算机系统的任何人来说都至关重要。

什么是熵，它为什么重要？

在探讨来源之前，让我们明确理解一下我们在计算语境中对熵的含义。它与房间里的混乱无关；它与信息不可预测有关。具有高熵的数据串很难猜测或压缩。例如，字符串“aaaaaaaa”的熵非常低，而像“8jK(t^@L”这样的字符串的熵很高。

定义计算随机性

在随机数生成的世界中，我们遇到两个主要类别：

• 伪随机数生成器（PRNG）：这些是产生看起来是随机的数字序列的算法，但实际上完全由一个称为“种子”的初始值决定。给定相同的种子，PRNG 将始终产生完全相同的数字序列。虽然非常适合需要可重复性的模拟和建模，但如果种子可以被猜测，它们对于安全应用程序来说是危险的可预测的。
• 真随机数生成器（TRNG）：这些生成器不依赖于数学公式。相反，它们从不可预测的物理现象中获取它们的随机性。TRNG 的输出是非确定性的；即使您知道先前数字的整个历史，也无法预测下一个数字。这是强大密码学所需的随机性质量。

系统熵值收集的目标是从 TRNG 源收集数据，直接提供给应用程序，或者更常见的是，安全地为高质量的、经过密码学验证的 PRNG (CSPRNG) 播种。

熵在安全中的关键作用

缺乏高质量的熵会导致灾难性的安全故障。如果系统生成可预测的“随机”数，则建立在其上的整个安全架构就会崩溃。以下仅列出熵不可或缺的几个领域：

• 密码密钥生成：当您生成 SSH 密钥、PGP 密钥或 SSL/TLS 证书时，系统需要大量真正的随机性。如果两个系统使用相同的可预测随机数据生成密钥，它们将产生相同的密钥，这是一个毁灭性的缺陷。
• 会话管理：当您登录网站时，它会生成一个唯一的会话 ID 来识别您的浏览器。此 ID 必须不可猜测，以防止攻击者劫持您的会话。
• Nonces 和 Salts：在密码学中，使用“nonce”（使用一次的数字）来防止重放攻击。在密码哈希处理中，在哈希处理之前将“salt”（salt）随机值添加到密码中以防止彩虹表攻击。两者都必须是不可预测的。
• 加密协议：TLS 等协议在握手过程中依赖于随机数，以建立用于会话的共享密钥。在这里使用可预测的数字可能会让窃听者解密整个对话。

寻找随机性：系统熵的来源

操作系统是观察大师，不断监控物理世界中不可预测的噪声。这种噪声，一旦被数字化和处理，就成为系统熵池的原材料。来源多种多样且巧妙，将平凡的事件转化为有价值的随机性流。

基于硬件的来源：利用物理世界

最可靠的熵来源来自硬件组件和用户交互的微妙、混乱的波动。关键是测量这些事件的精确时序，因为时序通常受到无数不可预测的物理因素的影响。

用户输入时序

即使在用户执行重复性任务时，他们操作的确切时序也永远不会完全相同。操作系统的内核可以将这些变化测量到微秒或纳秒级别。

• 键盘时序：系统并不关心您按什么键，而是您何时按下它们。按键之间的延迟——从一个按键到下一个按键之间的时间——是一个丰富的熵来源，受到人类思维过程、轻微的肌肉抽搐和系统负载的影响。
• 鼠标移动：您的鼠标光标在屏幕上移动的路径绝不是一条直线。内核会捕获 X/Y 坐标和每个移动事件的时序。手部运动的混乱本质提供了持续的随机数据流。

硬件中断和设备时序

现代计算机是异步事件的交响乐。设备不断中断 CPU，报告它们已完成一项任务。这些中断的时序是熵的一个绝佳来源。

• 网络数据包到达时间：网络数据包从服务器传输到您的计算机所需的时间受到许多不可预测因素的影响：网络拥塞、路由器排队延迟、Wi-Fi 信号上的大气干扰以及影响卫星链路的太阳耀斑。内核测量每个数据包的精确到达时间，收集抖动作为熵。
• 磁盘 I/O 时序：硬盘驱动器的读/写磁头移动到特定磁道以及磁盘旋转到正确扇区所需的时间受到驱动器外壳内的微小物理变化和气流的影响。对于固态硬盘 (SSD)，闪存操作的时序也可能具有非确定性元素。这些 I/O 请求的完成时间提供了另一个随机性来源。

专用硬件随机数生成器 (HRNG)

对于高安全性应用程序，依赖环境噪声并不总是足够。这就是专用硬件发挥作用的地方。许多现代 CPU 和芯片组在其自身的硅片中包含一个专用的 HRNG。

• 它们的工作原理：这些芯片旨在利用真正不可预测的物理现象。常见方法包括测量热噪声（电阻器中电子的随机运动）、半导体中的量子隧穿效应或放射源的衰变。由于这些过程受量子力学定律的支配，因此它们的结果根本不可预测。
• 示例：一个突出的例子是英特尔的安全密钥技术，其中包括 `RDRAND` 和 `RDSEED` 指令。这允许软件直接从芯片上 HRNG 请求高质量的随机位。AMD 处理器具有类似的功能。这些被认为是熵的金标准，并在可用时被现代操作系统广泛使用。

环境噪声

一些系统还可以利用来自其直接环境的噪声，尽管这对于通用服务器和台式机来说不太常见。

• 音频输入：来自麦克风输入捕获环境房间噪声甚至来自麦克风自身电路的热噪声的最低有效位可以用作熵源。
• 视频输入：类似地，来自未校准的相机传感器（即使指向均匀表面，像素亮度也会发生轻微的随机变化）的噪声可以被数字化并添加到熵池中。

熵池：系统的随机性存储库

从这些不同的来源收集原始数据只是第一步。此原始数据可能分布不均匀，并且攻击者可能能够影响其中一个来源。为了解决这个问题，操作系统使用一种称为熵池的机制。

将熵池想象成一个大锅。操作系统将从键盘时序、鼠标移动、磁盘 I/O 和其他来源收集的随机位作为配料投入。但是，它不仅仅是混合它们；它使用加密的“搅拌”函数。

工作原理：搅拌锅

当有新的随机数据可用时（例如，来自网络数据包的到达时间），它不会简单地附加到池中。相反，它使用强大的加密哈希函数（如 SHA-1 或 SHA-256）与池的当前状态相结合。此过程具有几个关键的好处：

• 白化/混合：加密哈希函数会彻底混合新输入和现有池。这确保了池的输出在统计上是均匀的，即使原始输入不是。它消除了输入源中的任何偏差。
• 回溯抵抗：由于哈希函数的单向性，观察到熵池输出的攻击者无法反向处理以找出池的先前状态或添加的原始输入。
• 源独立性：通过不断混合来自数十个来源的输入，系统确保即使攻击者可以控制一个来源（例如，以可预测的速率发送网络数据包），其影响也会被稀释并被所有其他混合的来源掩盖。

两种访问方式：阻塞与非阻塞

在类 Unix 系统（如 Linux）上，内核的熵池通常通过两个特殊的设备文件向应用程序公开：`/dev/random` 和 `/dev/urandom`。了解它们之间的区别至关重要，也是一个常见的困惑点。

/dev/random：高保证来源

当您从 `/dev/random` 请求数据时，内核首先会估计池中当前有多少“真”熵。如果您请求 32 字节的随机性，但内核估计它只有 10 字节的熵，`/dev/random` 将为您提供这 10 字节，然后阻塞。它将暂停您的应用程序，并等待从其来源收集到足够的新熵以满足您的其余请求。

何时使用它：历史上，这被推荐用于生成非常高价值的、长期的密码密钥（例如 GPG 主密钥）。阻塞特性被视为一种安全保障。但是，这会导致应用程序在熵值较低的系统上无限期挂起，这使得它不适用于大多数用途。

/dev/urandom：高性能来源

`/dev/urandom`（无限/非阻塞随机）采用不同的方法。它使用熵池为高质量的、经过密码学验证的 PRNG (CSPRNG) 播种。一旦这个 CSPRNG 被播种了足够的真熵，它就可以以非常高的速度生成几乎无限量的计算上不可预测的数据。`/dev/urandom` 将永远不会阻塞。

何时使用它：对于几乎所有应用程序的 99.9%。一个长期存在的说法是，`/dev/urandom` 在某种程度上是不安全的。这已经过时了。在现代操作系统（如任何 2.6 之后的 Linux 内核）上，一旦池被初始化（发生在启动过程的早期），`/dev/urandom` 的输出就被认为在密码学上对所有目的都是安全的。现代密码学和安全专家普遍建议使用 `/dev/urandom` 或其等效的系统调用（Linux 上的 `getrandom()`，Windows 上的 `CryptGenRandom()`）。

熵收集中的挑战和注意事项

虽然现代操作系统在熵值收集方面做得非常出色，但某些情况会带来重大挑战。

“冷启动”问题

当设备第一次启动时会发生什么？它的熵池是空的。在台式计算机上，用户将快速开始移动鼠标和打字，从而迅速填充池。但是，请考虑以下困难情况：

• 无头服务器：数据中心中的服务器没有连接键盘或鼠标。它完全依赖于网络和磁盘中断，这些中断在服务启动之前可能会在早期启动期间出现。
• 物联网和嵌入式设备：智能恒温器或传感器可能几乎没有熵源——没有磁盘，网络流量最少，也没有用户交互。

这种“冷启动”很危险，因为如果服务在启动过程早期启动并在熵池被正确播种之前请求随机数，它可能会收到可预测的输出。为了缓解这种情况，现代系统通常在关机期间保存一个“种子文件”，其中包含来自上一会话的熵池的随机数据，并使用它来在下次启动时初始化池。

虚拟化环境和克隆系统

虚拟化带来了主要的熵值挑战。虚拟机 (VM) 与物理硬件隔离，因此它无法直接观察磁盘时序或来自主机的其他硬件中断。这会使其缺乏良好的熵源。

克隆会放大这个问题。如果您创建一个 VM 模板，然后从中部署 100 个新 VM，则所有 100 个 VM 都有可能以完全相同的状态启动，包括其熵池种子的状态。如果它们都在第一次启动时生成 SSH 主机密钥，则它们都可能生成完全相同的密钥。这是一个巨大的安全漏洞。

解决方案是半虚拟化随机数生成器，例如 `virtio-rng`。这为客户 VM 创建了一个直接、安全通道，以从其主机请求熵。主机可以访问所有物理硬件，拥有丰富的熵供应，并且可以安全地将其提供给其客户。

熵值饥饿

当系统对随机数的需求超过其收集新熵的能力时，就会发生熵值饥饿。一个繁忙的 Web 服务器每秒处理数千次 TLS 握手可能会很快消耗随机性。如果此服务器上的应用程序配置为使用 `/dev/random`，则它们可能开始阻塞，从而导致严重的性能下降和连接超时。这是 `/dev/urandom` 是几乎所有应用程序的首选接口的主要原因。

最佳实践和现代解决方案

管理系统熵是系统管理员、DevOps 工程师和软件开发人员的共同责任。

对于系统管理员和 DevOps

• 利用硬件 RNG：如果您的硬件具有内置 HRNG（如 Intel RDRAND），请确保系统配置为使用它。Linux 上的 `rng-tools` 等工具可以配置为将来自硬件生成器的数据直接馈送到内核的 `/dev/random` 池中。
• 解决虚拟化问题：部署 VM 时，始终确保配置并启用 `virtio-rng` 设备。这是任何虚拟化基础设施中的一个关键安全步骤。
• 考虑在有限设备上使用熵守护程序：对于无头系统或熵源很少的嵌入式设备，可以使用熵收集守护程序，如 `haveged`。它使用处理器指令时序（CPU 自身的执行抖动）的变化来生成补充熵。
• 监控熵值水平：在 Linux 上，您可以通过运行 `cat /proc/sys/kernel/random/entropy_avail` 来检查池中当前的估计熵值。如果此数字一直很低（例如低于 1000），则表明您的系统已饥饿，可能需要上述解决方案之一。

对于开发人员

• 使用正确的系统调用：黄金法则是切勿自行构建用于安全目的的随机数生成器。始终使用操作系统密码库提供的接口。这意味着在 Linux/C 中使用 `getrandom()`、在 Python 中使用 `os.urandom()`、在 Node.js 中使用 `crypto.randomBytes()` 或在 Java 中使用 `SecureRandom`。这些接口经过专业设计，可在不阻塞的情况下提供经过密码学验证的随机数。
• 理解 `urandom` 与 `random` 的区别：对于几乎所有应用程序——生成会话密钥、nonce、salt 甚至临时加密密钥——非阻塞 `/dev/urandom` 接口是正确且安全的选择。仅考虑使用阻塞接口来生成少数非常高价值的、离线的主密钥，即使在这种情况下，也要注意性能影响。
• 正确地为应用程序级 PRNG 播种：如果您的应用程序需要自己的用于非加密目的的 PRNG（例如在游戏或模拟中），您仍然必须使用高质量的值对其进行播种。最佳实践是从操作系统的安全源（例如 `/dev/urandom`）提取初始种子。

结论：数字信任的无声守护者

熵值收集是现代操作系统最优雅且至关重要的功能之一。它是一个连接物理世界和数字世界的进程，将现实的混乱噪声——网络数据包的抖动、按键的犹豫——转化为强大密码学的数学确定性。

这个未被察觉的安全引擎在后台不知疲倦地工作，提供不可预测性的基本要素，它支撑着我们在网上进行的几乎每一次安全交互。从保护简单的网页浏览会话到保护国家机密，系统熵的质量和可用性至关重要。通过了解这种随机性来自何处、如何管理以及所涉及的挑战，我们可以为全球数字社会构建更强大、更具弹性、更值得信赖的系统。