Pull to refresh
44
0
Ilya V. Matveychikov @milabs

User

Атмосфера в компании InfoWatch

Заметка о способе отладки блокировок в ядре Linux

QEMU позволяет безболезненно ронять систему по много раз + собирать креш-дампы. В остальном — основной метод это отладочная печать через printk… Несколько раз пользовался kgdb, но он нужен в редких случаях, даже сейчас сходу не скажу в каких :)

CryptoAPI ядра Linux: разработка и применение российской криптографии

Не, я имел в виду реализацию шифра ГОСТ 28147-89 на x86 с использованием расширения команд SSSE3/AVX.

CryptoAPI ядра Linux: разработка и применение российской криптографии

ГОСТ 28147-89 при правильной реализации на AVX не уступает в скорости аппаратной реализации AES (AES-NI).

CryptoAPI ядра Linux: разработка и применение российской криптографии

А где ссылка на код проекта?

Заметка о способе отладки блокировок в ядре Linux

Не, ну трейсы безусловно помогают. Иногда достаточно сделать WARN_ON(1) чтобы понять что происходит :)

Заметка о способе отладки блокировок в ядре Linux

то в стеке одного из «рабочих тредов/тасков» будет функция, которая и забрала спинлок

Нет, это не верно. Спинлок в упрощённом варианте это что-то типа lock=1 для захвата и lock=0 для освобождения. То есть захват/освобождение — это просто смена состояний объекта. Соответствующие функции скорее-всего inline, поэтому следов в стеке они не оставляют, да и анализ стека выше стекового указателя — это не правильно, там будет мусор.

Заметка о способе отладки блокировок в ядре Linux

Не совсем понял как анализ процессов может помочь. Сеть в soft-IRQ работает, это ядерный контекст, там понятия current-процесса не существует.

По поводу фильтра — делитесь, конечно.

Заметка о способе отладки блокировок в ядре Linux

Конкретно в том случае проблема была в том, что нарушалась локальность обработки данных. Сокет, а вместе с ним и сетевое соединение, обслуживалось разными CPU. С точки зрения производительности на SMP-системах это плохой вариант, т.к. страдают кеши, возникают кросс-блокировки между ядрами.

Сказ о том, как ГОСТ-шифрование диска в Android реализовывали

Ну что вы за пользователя говорите. Вам нужна открытость — пользуйтесь PGP. Нужен ГОСТ в продакшене — пожалуйте под крыло ФСБ. И вот только не надо говорить, в развитых странах так не принято. И что требования регуляторов открытые для всех жедающих, вспоминая при этом пресловутые фипсы. Это верхушка айсберга, и очень хорошо, что подводную часть хоть как-то, но берегут)

Сказ о том, как ГОСТ-шифрование диска в Android реализовывали

Ну как же, если есть сертификат ФСБ, то "верьте мне", там не XOR :-))))

Сказ о том, как ГОСТ-шифрование диска в Android реализовывали

Тексты криптоалгоримов — это мизерная доля от общей кодовой базы продуктов. Открытость текстов не даст вам уверенности в том, что весь продукт безопасен. Ну убедитесь вы, что там не XOR. Ну и что? Так обвязка может всё шифрование на нет свести. Кстати, при сертификации в ФСБ как раз этот вопрос чаще всего и всплывает — реализация хорошая, только используется не правильно :-) Но вот эти 99,9% кода могу составлять "коммерческую тайну" и быть интеллектуальной собственностью компании. Что же теперь по вашей логике — весь код открывать?

Сказ о том, как ГОСТ-шифрование диска в Android реализовывали

Ну, знаете, высказать опасение не значит найти уязвимость. Я выскажу опасение, что задача дискретного логарифмирования, возможно, не такая уж вычислительно сложная. Такое опасение ставит под сомнение существующую криптографию на эллиптических кривых. Но что толку с моего опасения?

Сказ о том, как ГОСТ-шифрование диска в Android реализовывали

Ну так там же Сноуден поучаствовал. А что с хертблидом и компанией? Нет инсайда => не разоблачений? Эй, а как же опенсорс?))

Сказ о том, как ГОСТ-шифрование диска в Android реализовывали

Ну и много "закладок" нашли в OpenSSL?

Сказ о том, как ГОСТ-шифрование диска в Android реализовывали

Это важный фактор, но не решающий. Так же, как и сертификация в ФСБ. Что значит — требования по "наличию бекдоров", поясните? Криптоалгоритмы открытые, есть желание изучать и искать закладки — пожалуйста. С другой стороны, в задачи сертификаторов входит проверка корректности применения этих самых алгоритмов, что на самом деле представляет собой бОльшую угрозу безопасности, чем те же самые невидимые бекдоры. Я считаю, что сертификация в ФСБ по СКЗИ имеет смысл, в отличии от сертификации ФСТЕК.

Сказ о том, как ГОСТ-шифрование диска в Android реализовывали

Ну как бы, опыт OpenSSL говорит о том, что открытость и возможность аудита не являются критерием надёжности.

Information

Rating
Does not participate
Location
Москва, Москва и Московская обл., Россия
Date of birth
Registered
Activity