Cloudflare 的熵系統是個非常有趣的東西,目前該公司在多個辦公室都製作了熵系統用來選取資料作為偽隨機數生成的種子,生成的偽隨機數則用於 TLS 安全協議中。
在最新發布的部落格中 Cloudflare 介紹該公司在葡萄牙首都里斯本辦公室中最新搭建的熵系統,這個熵系統想法來源於西班牙納扎雷小鎮的巨浪。
新的熵系統由多個不停擺動的波浪機組成,波浪機容器中裝有溶液,隨著波浪機的擺動溶液也會跟著運動,溶液又有不同的顏色,因此在 50 臺波浪機擺動的情況下其樣式會始終發生隨機性變化。
Cloudflare 有個攝像頭專門對著這 50 臺波浪機組成的熵牆,定時拍攝照片上傳到系統中並校驗其雜湊值,將這個雜湊值作為種子給偽隨機數生成器使用。
理論上說這些波浪機制造的影像是不可能完全相同的,因此生成的雜湊值也不可能完全相同,作為種子給生成器使用可以大幅度提高安全性。
生成的隨機數主要用於 TLS 安全協議,Cloudflare 伺服器平均每秒處理 7100 萬個 HTTP 請求,峰值時每秒處理的請求數高達 1 億,大多數請求都是透過 TLS 協議進行加密的。
TLS 協議依靠安全的隨機數確保加密完整性,加密安全偽隨機數生成器 (CSPRNG) 確保不可預測性,但該系統的前提是必須使用高質量的熵作為種子。
現實世界中的混動運動總是隨機的,這也是 Cloudflare 想出搭建這類熵系統的原因,透過現實世界中的混亂運動構建種子,從而確保 CSPRNG 系統的安全性。
Cloudflare 這個新系統介紹:
50 臺造波機、50 個運動論和電機、50 個裝有休斯造波流體溶液的丙烯酸容器 (裡面混合兩種不同的液體)
3 種顏色的液體:藍色、綠色和橙色
從構思到完成花費了 15 個月
左右平衡運動每分鐘翻轉 14 次,每天超過 2 萬次
每分鐘超過 15 個波浪
每臺機器裝有 0.5 升溶液
