Zufallszahlengeneratoren
Basis für sichere kryptografische Verfahren und Protokolle sind gute Zufallszahlen. Es muss also sichergestellt werden, dass in Kryptoprodukten verwendete Zufallszahlengeneratoren zufällige und nicht vorhersagbare Daten liefern.
Das BSI hat daher Vorgaben zur Vorgehensweise bei der Evaluierung und Zertifizierung von Zufallszahlengeneratoren im mathematisch-technischen Anhang A A proposal for: Functionality classes for random number generators - Version 2.0 (Stand 18. September 2011) und A proposal for: Functionality classes for random number generators - Version 3.0 formuliert, die die kryptografische Grundlage für die AIS 20 und AIS 31 bilden.
Die Erstellung der Version 3.0 wurde von einer Kommentierungsrunde eines Entwurfs ( A proposal for: Functionality classes for random number generators - Version 2.35 - Draft) und einem Workshop begleitet (Weitere Informationen).
Außerdem werden in BSI-Studien einzelne Zufallszahlengeneratoren untersucht und bewertet:
BSI-Studie: Dokumentation und Analyse des Linux-Pseudozufallszahlengenerators
Das BSI lässt seit einigen Jahren kontinuierlich den Zufallszahlengenerator (kurz RNG) /dev/random für jede neu erscheinende Version von Linux untersuchen. Damit kann das BSI Sicherheitsaussagen über diesen RNG, aber insbesondere auch über kryptografische Systeme machen, die diesen RNG zur Erzeugung von Schlüsselmaterial verwenden. Der Hauptaspekt der Untersuchung ist der Nachweis, dass der Linux-RNG konform zu einer bestimmten Funktionalitätsklasse ist.
BSI-Studie: Zufallszahlenerzeugung in virtualisierten Umgebungen
Mit dem zunehmenden Einsatz virtueller Maschinen, vor allem in Cloud-basierten Lösungen, stellt sich die Frage, ob auch hier Zufallszahlen von ausreichender Qualität bereitgestellt werden können.
In einer Studie des BSI wurde daher untersucht, wie die Virtualisierung die Entropie der Rauschquellen, die die Zufallszahlengeneratoren speisen, beeinflusst, und was getan werden kann, um die Versorgung der virtuellen Maschinen (VM) mit genügend Zufall sicherzustellen. Exemplarisch wurde dabei der quelloffene Zufallszahlengenerator von Linux in virtuellen Maschinen untersucht, die auf verschiedenen virtuellen Maschinenmonitoren (VMM) wie KVM, VirtualBox, Microsoft Hyper-V und VMWare ESXi liefen.