Generatore Random del radiusclient

["ZioPRoTo (Saverio Proto)" < >]

Per la curiosità di tutti gli studenti sono andato a vedere il codice dell'implementazione di radiusclient (l'implementazione del NAS in Linux)

Scaricate il sorgente 
ftp://ftp.cityline.net/pub/radiusclient/

alla riga 446 del file lib/sendserver.c inizia l'implementazione del generatore random!

ragazzi è sconvolgente! primo commento:

Purpose: generates a random vector of AUTH_VECTOR_LEN octets.

AUTH_VECTOR_LEN è ovviamente definito a 16, in quanto 16 * 8 = 128 bit

Vedete che nel file lib/sendserver.c riga 453
c'e questo commento:

/* well, I added this to increase the security for user passwords.
   we use /dev/urandom here, as /dev/random might block and we don't
   need that much randomness. BTW, great idea, Ted!     -lf, 03/18/95    */

In pratica usano /dev/urandom di Linux:
http://linux.about.com/library/cmd/blcmdl4_urandom.htm

che gli genera numeri random basandosi sullo stato della macchina, stato dell'hardware, dei drivers, numero di processi ecc ecc

La cosa incredibile è che noi a lezione abbiamo detto che per arrivare a 128bit è una cattiva idea incollare 4 blocchi da 32 bit! in questa implementazione fanno ancora peggio: incollano 16 blocchi da 8 bit! lo fanno fidandosi della bontà del loro generatore da 8 bit!
Ma se il vostro kernel è compilato senza il supporto per /dev/random, e compilate radiusclient, il software va in fall back ed usa la semplice rand() !!!!!

ma anche senza fall back ci fidiamo veramente di /dev/urandom ?? :)

Forse cmq ho sbagliato a leggere il codice! sono sicuro che andrete tutti a controllare ;)

Saverio