Tag Archives: random

Libgcrypt 與 GnuPG 的安全性問題

在「Security fixes for Libgcrypt and GnuPG 1.4 [CVE-2016-6316]」這邊看到這個歷史悠久的 bug: Felix Dörre and Vladimir Klebanov from the Karlsruhe Institute of Technology found a bug in the mixing functions of Libgcrypt's random number generator: An attacker who obtains 4640 bits from the … Continue reading

Posted in Computer, Murmuring, Security, Software | Tagged , , , , , , , , , , , | Leave a comment

產生隨機地圖

在「Generating fantasy maps」這邊看到在講產生隨機地圖的方法,就像這樣細緻的地圖: 作者是依照「Polygonal Map Generation for Games」這篇的方法改善的,我之前看過但好像沒寫文章記錄下來... 兩篇文章裡面都寫得很詳細,一步一步提供用到的演算法以及範例說明。

Posted in Computer, Game, Murmuring, Programming, Recreation | Tagged , , | Leave a comment

V8 Engine 的 Math.random() 在新版被重寫了...

先前在「V8 的 Math.random() 亂度不足的問題」提到 Math.random() 因為使用 MWC1616 (Fast random number generation using 128 bit multimedia extension registers on Pentium class machines) 而不夠亂的問題。 這個問題在新版 V8 Engine 提出改善了:「There's Math.random(), and then there's Math.random()」。 新實作的方法是 xorshift128+,擁有極長的 period length: This has been pointed out … Continue reading

Posted in Browser, Computer, GoogleChrome, Murmuring, Programming, Security, Software | Tagged , , , , , , , , , , , | Leave a comment

V8 的 Math.random() 亂度不足的問題

在「TIFU by using Math.random()」這篇看到作者踩到地雷,於是在討論 V8 Engine 的 Math.random() 的亂度不足。 其實這個問提早在 2012 年就有人在 StackOverflow 上詢問:「Why is Google Chrome's Math.random number generator not *that* random?」,而且也回答得很清楚。 而 Mozilla 這邊在 2006 年也被提出了類似的問題:「Bug 322529 - Upgrade Math.random() to a better algorithm, such as Mersenne Twister」。 … Continue reading

Posted in Browser, Computer, Firefox, GoogleChrome, Murmuring, Network, Programming, Security, Software | Tagged , , , , , , , , , , , , , , , , , , , | 2 Comments

InnoDB 對 Primary Key 的選擇

前幾天 Ant 在「淺入淺出 MySQL & PostgreSQL」剛好有提到,結果 Percona 這兩天也丟出了這個題目,不過這邊討論的是空間的問題:「Illustrating Primary Key models in InnoDB and their impact on disk usage」。 一樣的作法,Primary Key 的選擇有三種: INT + AUTO_INCREMENT BINARY(16) (Ordered UUID) CHAR(36) (Random UUID) 用的是 Jeremy Cole 的 space-lsn-age-illustrate 畫出 LSN 的值 (InnoDB … Continue reading

Posted in Computer, Database, Murmuring, MySQL, Software | Tagged , , , , , , , | Leave a comment

利用 WPS 實做上的問題攻擊,而取得 WPA 密碼

在「Wi-Fi Router Attack Only Requires a Single PIN Guess」這邊看到利用 WPS 實做上的弱點攻擊而取得 WPA 的密碼。 投影片取自「Offline bruteforce attack on WiFi Protected Setup」這邊: 利用各種方法攻擊,像是不夠安全的 PRNG (Pseudo Random Number Generator)。 作者的建議是,關掉 WPS 會比較安全 XD

Posted in Computer, Hardware, Murmuring, Network, Security | Tagged , , , , , , , , | 1 Comment

RAID 卡的電池維護

實際的世界都是由 workaround 疊 workaround 解決問題的... MySQL 資料庫一般都用 RAID 10,利用 RAID 1 的特性保護資料,並且利用 RAID 0 的特性提昇 IOPS 能力。 而這些 RAID 卡通常都會提供 cache,預設應該都會開 read cache,可以大幅增加 random read 的速度。而另外也可以打開 write cache (也就是 write-back),寫入時先寫到 cache 裡,RAID 卡馬上就會跟作業系統回報完成,藉以加速 random write 的速度。 但這樣就會有風險,當資料還沒寫入硬碟就斷電時就會遺失資料。所以在設定 write-back 的 RAID … Continue reading

Posted in Computer, Hardware, Murmuring, Security | Tagged , , , , , , , , , , , , , | Leave a comment

NSA 付錢給 RSA 放後門的事件...

Edward Snowden 再次丟出 NSA 內部文件,表示 NSA 付錢給 RSA 在演算法裡面放後門:「Exclusive: Secret contract tied NSA and security industry pioneer」。 RSA 的回應則是完全不想提到這筆錢是做什麼用的:「RSA Response to Media Claims Regarding NSA Relationship」。 現在一般在猜測,這個後門應該就是 RSA BSAFE 的預設偽隨機數產生器 Dual_EC_DRBG。 對於 Dual_EC_DRBG 的攻擊,2006 年的「Cryptanalysis of the Dual Elliptic Curve … Continue reading

Posted in Computer, Murmuring, Network, Security | Tagged , , , , , , , , , , , , , , , | 1 Comment

對 /dev/random 的攻擊...

Bruce Schneier 的 blog 上寫了一篇「Insecurities in the Linux /dev/random」,針對 /dev/random 的亂度找出弱點攻擊,雖然目前的攻擊看起來影響不大... 論文被傳到 Cryptology ePrint Archive 上,名稱是「Security Analysis of Pseudo-Random Number Generators with Input: /dev/random is not Robust」。 NSA 向世人展示了任何實做上的問題都可以成為漏洞的能力,這些純理論的研究也愈來愈被重視...

Posted in Computer, Linux, Murmuring, OS, Security, Software | Tagged , , , , , , , | 1 Comment

用 Unbound 跑處理 DNS Round Robin 服務的問題...

環境是內部有兩台互相做 HA 的 server (用 Heartbeat 或是用 CARP),然後給一個內部用的 domain 指到兩個 IP address,於是發現不太平均:「Unbound 回傳 RR Set 的順序問題」。 2010 年的時候就有人提過要這個功能,然後被打槍:「[Unbound-users] Round Robin DNS」,最主要的理由是「這應該是 client 要做的事情」。 2012 年三月有人決定自己來:「[Unbound-users] patch implementing round robin rrsets」,patch 本身蠻簡單的 (不過看起來不能保證 thread-safe),另外也有一些 RFC 隱性希望 DNS resolver 可以處理 round robin … Continue reading

Posted in Computer, DNS, Murmuring, Network | Tagged , , , , , | Leave a comment