Gerätezertifikat-Schlüsselqualität - AWS IoT Device Defender
DetailsWarum dies wichtig istSo lässt es sich beheben

Gerätezertifikat-Schlüsselqualität

AWS IoT-Kunden verlassen sich häufig auf die gegenseitige TLS-Authentifizierung mit X.509-Zertifikaten für die Authentifizierung beim AWS IoT-Nachrichtenbroker. Diese Zertifikate und ihre Zertifizierungsstellenzertifikate müssen im AWS IoT-Konto registriert werden, bevor sie verwendet werden. AWS IoT führt grundlegende Integritätsprüfungen für diese Zertifikate durch, wenn sie registriert sind. Folgendes wird überprüft:

  • Sie müssen ein gültiges Format haben.

  • Sie müssen von einer registrierten Zertifizierungsstelle signiert sein.

  • Sie müssen sich noch innerhalb ihrer Gültigkeitsdauer befinden (mit anderen Worten, sie dürfen noch nicht abgelaufen sein).

  • Ihre kryptografischen Schlüssel müssen eine erforderliche Mindestgröße aufweisen (RSA-Schlüssel müssen mindestens 2048 Bit groß sein).

Diese Audit-Prüfung bietet die folgenden zusätzlichen Tests zur Qualität Ihres kryptografischen Schlüssels:

  • CVE-2008-0166: Überprüft, ob der Schlüssel mit OpenSSL 0.9.8c-1 bis zu Versionen vor 0.9.8g-9 auf einem Debian-basierten Betriebssystem generiert wurde. Diese Versionen von OpenSSL verwenden einen Zufallszahlengenerator, der vorhersehbare Zahlen generiert. So wird es Angreifern erleichtert, Brute-Force-Rate-Angriffe gegen kryptografische Schlüssel durchzuführen.

  • CVE-2017-15361: Überprüft, ob der Schlüssel von der Infineon RSA-Bibliothek 1.02.013 in der Infineon Trusted Platform Module-Firmware (TPM) generiert wurde, z. B. Versionen vor 0000000000000422 – 4.34, vor 000000000000062b – 6.43 und vor 0000000000008521 – 133.33. Diese Bibliothek handhabt die Generierung von RSA-Schlüsseln falsch, was es Angreifern erleichtert, einige kryptographische Schutzmechanismen durch gezielte Angriffe zu umgehen. Beispiele für betroffene Technologien sind BitLocker mit TPM 1.2, YubiKey 4 (vor 4.3.5) PGP-Schlüsselgenerierung und die Verschlüsselungsfunktion für zwischengespeicherte Benutzerdaten in Chrome OS.

AWS IoT Device Defender meldet Zertifikate als nicht konform, wenn sie diese Tests nicht bestehen.

Diese Prüfung wird wie DEVICE_CERTIFICATE_KEY_QUALITY_CHECK in der CLI und API angezeigt.

Schweregrad: Kritisch

Details

Diese Prüfung gilt für Gerätezertifikate mit dem Status ACTIVE oder PENDING_TRANSFER.

Die folgenden Ursachencodes werden zurückgegeben, wenn diese Prüfung ein nicht-konformes Zertifikat findet:

  • CERTIFICATE_KEY_VULNERABILITY_CVE-2017-15361

  • CERTIFICATE_KEY_VULNERABILITY_CVE-2008-0166

Warum dies wichtig ist

Wenn ein Gerät ein anfälliges Zertifikat verwendet, können Angreifer dieses Gerät leichter gefährden.

So lässt es sich beheben

Aktualisieren Sie Ihre Gerätezertifikate, um diese durch bekannte Schwachstellen zu ersetzen.

Wenn Sie dasselbe Zertifikat auf mehreren Geräten verwenden, sind die folgenden Maßnahmen zu empfehlen:

  1. Stellen Sie neue, eindeutige Zertifikate bereit und fügen Sie sie an jedes Gerät an.

  2. Überprüfen Sie, ob die neuen Zertifikate gültig sind und ob die Geräte mit ihnen eine Verbindung herstellen können.

  3. Verwenden Sie UpdateCertificate zum Kennzeichnen des alten Zertifikats als REVOKED in AWS IoT. Sie können Abhilfemaßnahmen auch für Folgendes verwenden:

    • Wenden Sie die Abhilfemaßnahme UPDATE_DEVICE_CERTIFICATE auf Ihre Prüfungsergebnisse an, um diese Änderung vorzunehmen.

    • Wenden Sie die Abhilfemaßnahme ADD_THINGS_TO_THING_GROUP an, um das Geräts zu einer Gruppe hinzuzufügen, über der Aktionen ausgeführt werden können.

    • Wenden Sie die Abhilfemaßnahme PUBLISH_FINDINGS_TO_SNS an, wenn Sie eine benutzerdefinierte Antwort als Antwort auf die Amazon SNS-Nachricht implementieren möchten.

    Weitere Informationen finden Sie unter Abschwächungsaktionen.

  4. Trennen Sie das alte Zertifikat von jedem der Geräte.