Calidad de la clave del certificado del dispositivo - AWS IoT Device Defender
Detalles¿Por qué importa?Cómo solucionarlo

Calidad de la clave del certificado del dispositivo

Los clientes de AWS IoT suelen confiar en la autenticación mutua de TLS mediante certificados X.509 para autenticarse en el agente de mensajes de AWS IoT. Estos certificados y los certificados de la entidad de certificación se deben registrar en la cuenta de AWS IoT para poder utilizarlos. AWS IoT realiza comprobaciones de verificación básicas en estos certificados cuando se registran. Estas comprobaciones incluyen:

  • Deben tener un formato válido.

  • Deben estar firmados por una autoridad de certificación registrada.

  • Deben estar dentro del periodo de validez (es decir, no han caducado).

  • Los tamaños de la clave criptográfica deben cumplir con un tamaño mínimo requerido (para las claves RSA deben ser de 2048 bits o más).

Esta comprobación de auditoría proporciona las siguientes pruebas adicionales de la calidad de la clave criptográfica:

  • CVE-2008-0166: comprueba si la clave se generó usando OpenSSL 0.9.8c-1 hasta versiones anteriores a 0.9.8g-9 en un sistema operativo basado en Debian. Esas versiones de OpenSSL utilizan un generador de números aleatorios que genera números predecibles, lo que permite a los atacantes remotos realizar ataques de adivinación de fuerza bruta contra claves criptográficas.

  • CVE-2017-15361: comprueba si la clave se generó mediante la biblioteca Infineon RSA 1.02.013 en el firmware Infineon Trusted Platform Module (TPM), como las versiones anteriores a 0000000000000422 – 4.34, anteriores a 000000000000062b – 6.43 y anteriores a 0000000000008521 – 133.33. Esa biblioteca trata de forma inadecuada la generación de claves RSA, lo que permite a los atacantes frustrar algunos mecanismos de protección criptográfica a través de ataques dirigidos. Algunos ejemplos de tecnologías afectadas son BitLocker con TPM 1.2, generación de claves PGP de YubiKey 4 (anterior a 4.3.5) y la función de cifrado de datos de usuario en caché en el sistema operativo Chrome.

AWS IoT Device Defender registra los certificados como no conformes si no superan estas comprobaciones.

Esta comprobación aparece como DEVICE_CERTIFICATE_KEY_QUALITY_CHECK en la CLI y la API.

Gravedad: crítica

Detalles

Esta comprobación se aplica a los certificados de dispositivo ACTIVE o PENDING_TRANSFER.

Se devuelven los siguientes códigos de motivo cuando esta comprobación encuentra un certificado no conforme:

  • CERTIFICATE_KEY_VULNERABILITY_CVE-2017-15361

  • CERTIFICATE_KEY_VULNERABILITY_CVE-2008-0166

¿Por qué importa?

Cuando un dispositivo utiliza un certificado vulnerable, los atacantes pueden atacar más fácilmente ese dispositivo.

Cómo solucionarlo

Actualice los certificados de su dispositivo para reemplazar aquellos con vulnerabilidades conocidas.

Si está utilizando el mismo certificado en varios dispositivos, es posible que desee:

  1. Aprovisionar nuevo certificados únicos y asociarlos a cada dispositivo.

  2. Verificar que los nuevos certificados sean válidos y que los dispositivos puedan usarlos para conectarse.

  3. Utilice UpdateCertificate para marcar el certificado antiguo como REVOCADO en AWS IoT. También puede utilizar acciones de mitigación para:

    • Aplicar la acción de mitigación UPDATE_DEVICE_CERTIFICATE en los resultados de la auditoría para realizar este cambio.

    • Aplicar la acción de mitigación ADD_THINGS_TO_THING_GROUP para agregar el dispositivo a un grupo en el que puede tomar medidas.

    • Aplicar la acción de mitigación PUBLISH_FINDINGS_TO_SNS si desea implementar una respuesta personalizada en respuesta al mensaje de Amazon SNS.

    Para obtener más información, consulte Acciones de mitigación.

  4. Desvincular el certificado antiguo de cada uno de los dispositivos.