Ataques de Entropia: Explorando Falhas na Geração de Números Aleatórios
Uma postagem do blog cr.yp.to revela uma vulnerabilidade crítica na geração de números aleatórios — ataques de entropia. A sabedoria convencional afirma que o hash de múltiplas fontes de entropia aprimora a aleatoriedade, mas o autor demonstra que, se uma única fonte for comprometida, os atacantes podem manipular a saída do hash e controlar os números aleatórios gerados. Isso representa uma ameaça significativa aos sistemas criptográficos que dependem da aleatoriedade, como DSA e ECDSA, permitindo que os atacantes roubem chaves privadas. O EdDSA, devido à sua geração de assinatura determinística, oferece maior resistência. O artigo defende a minimização das fontes de entropia e o emprego de abordagens criptográficas determinísticas para mitigar os riscos associados à adição constante de nova entropia.