RDRAND(之前被稱為Bull Mountain)是一個計算機指令,用於從晶片上的硬體隨機數生成器中獲取隨機數。所用到的隨機數生成器由晶片上的熵池初始化。RDRAND指令在Ivy Bridge架構處理器上可用,該指令也是X86-64和IA-32指令集的一部分。AMD在2015年6月添加了對RdRand指令的支持。
該隨機數生成器要遵守安全標準和加密標準,比如NIST SP 800-90A,FIPS 140-2和 ANSI X9.82。Intel也在1999年和2012年請密碼學研究 Cryptography Research 公司來審查這個隨機數發生器,並產生了兩篇論文:1999年的 The Intel Random Number Generator和2012年的 Analysis of Intel's Ivy Bridge Digital Random Number Generator。
RDSEED和RDRAND類似,也提供了訪問硬體熵池的高級方法。 Intel Broadwell 系列的CPU和 AMD Zen 系列的CPU都支持RDSEED生成器和rdseed指令。
基本介紹
概覽,性能,編譯器支持,用來檢測RDRAND指令的x86彙編語言例子,相關背景,
概覽
在AMD和Intel的CPU上,CPUID指令都可以檢測中央處理器(CPU)是否支持RDRAND指令。如果支持,調用CPUID的標準函式01H之後,EXC暫存器的第30位會被設定成1。AMD處理器也可以使用同樣的方式檢測是否支持。在Intel CPU上,也可以使用類似的方法檢測RDSEED是否支持。如果支持RDSEED,在調用完CPUID的標準函式07H後,EBX暫存器的第18位會被設定為1。
RDRAND的操作碼是0x0F 0xC7,後面跟一個ModRM位元組,來指示目標暫存器。在64位模式下,還可以於REX前綴結合(這是可選的)。
Intel安全密鑰是Intel為RDRAND指令和底層的隨機數生成器(RNG)的硬體實現的統稱,它在開發期間的代號是"Bull Mountain"。Intel稱自己的RNG"數字隨機數生成器"或DRNG。生成器採用有硬體產生的256位原始熵樣本對,並將其套用到一個高級加密標準(AES)(在CBC-MAC模式下)調節器,將其減少到256位條件熵樣本。
NIST SP 800-90A中定義了一個名叫CTR_DRBG的確定性隨機數生成器。它由調節器的輸出來初始化,為使用RDRAND指令的應用程式提供了密碼學安全的隨機數。在重新初始化之前,硬體將發出最多511個128位的樣本。使用RDSEED可以訪問來自AES-CBC-MAC的、條件化後的256位樣本。
性能
在Intel 酷睿 i7-7700K,4500MHz(45 x 100MHz)的處理器(Kaby Lake-S架構)上,單個RDRAND或RDSEED指令花費110納秒或463個時鐘周期,不論運算元大小(16位、32位、64位)。這個時鐘周期數適用於所有Skylake和Kaby Lake架構的處理器。在Silvermont架構的處理器上,每個指令花費1472時鐘周期,不論運算元大小;在Ivy Bridge架構的處理器上,花費117時鐘周期。
在AMD Ryzen 處理器上,對於16位或32位運算元,每個指令約花費1200個時鐘周期;對於64位運算元,約花費2500個時鐘周期。
編譯器支持
GCC4.6+和Clang3.2+提供了RdRand的內置支持——當在編譯參數中指定了-mrdrnd命令行參數、並且在條件編譯時設定__RDRND__宏的情況下。更新的版本額外提供了immintrin.h將這些內置函式封裝成與英特爾C編譯器版本12.1+兼容的功能中。這些函式將隨機數據寫入參數指定的位置,並在成功時返回1。
用來檢測RDRAND指令的x86彙編語言例子
; 使用 NASM 語法section .datamsg db "0x00000000",10 section .textglobal _start_start:mov eax,1cpuidbt ecx,30mov rdi,1 ; exit code: failurejnc .exit ; 如果沒有隨機數可用,rdrand 設定 CF=0 ; Intel 的文檔建議循環重試10次mov ecx,11.loop1:dec ecxjecxz .exit ; exit code 已經設定了rdrand eaxjnc .loop1 ; 將數字轉換成 ASCII 字元mov rdi,msg+9mov ecx,8.loop2:mov edx,eaxand edx,0Fh; add 7 to nibbles of 0xA and above; to align with ASCII code for 'A'; ('A' - '0') - 10 = 7mov r8d,7xor r9d,r9dcmp dl,9cmova r9,r8add edx,r9dadd [rdi],dlshr eax,4dec rdiloop .loop2 mov rax,1 ; SYS_WRITEmov rdi,1 ; stdoutmov rsi,msgmov rdx,11syscall mov rdi,0 ; exit code: success.exit:mov rax,60 ; SYS_EXITsyscall相關背景
在2013年9月,曹子德(Theodore Ts'o)為回應紐約時報的文章Global surveillance disclosures (2013–present),公開發文表達對Linux核心的/dev/random中使用RdRand的擔憂:
I am so glad I resisted pressure from Intel engineers to let /dev/random rely only on the RDRAND instruction. To quote from the article below: 'By this year, theSigint Enabling Projecthad found ways inside some of the encryption chips that scramble information for businesses and governments, either by working with chipmakers to insert back doors....' Relying solely on the hardware random number generator which is using an implementation sealed inside a chip which is impossible to audit is a BAD idea.
林納斯·托瓦茲駁斥了在Linux核心中使用RdRand的擔憂,並指出RdRand不是/dev/random的熵來源;從RdRand接受數據並和其他隨機數來源結合來改善熵。然而,Defuse Security的Taylor Hornby表明,如果將後門引入到專門針對使用代碼的RdRand指令中,Linux隨機數生成器可能會變得不安全。 泰勒的概念驗證實當前版本3.13之前的未修改的Linux核心上工作。
