Qualité de la clé du certificat CA - AWS IoT Device Defender
DétailsPourquoi est-ce important ?Comment réparer

Qualité de la clé du certificat CA

Les clients AWS IoT s’appuient souvent sur l’authentification mutuelle TLS à l’aide de certificats X.509 pour s’authentifier auprès de l’agent de messages AWS IoT. Ces certificats et leurs certificats d'autorité de certification doivent être enregistrés dans leur compte AWS IoT avant d'être utilisés. AWS IoT effectue des vérifications d'intégrité élémentaires sur ces certificats lorsqu'ils sont enregistrés, notamment :

  • Le format des certificats doit être valide.

  • La période de validité des certificats ne doit pas avoir expiré.

  • La taille des clé de chiffrement des certificats doit correspondre à une taille minimale requise (pour les clés RSA, elles doivent être de 2048 bits ou plus).

Cette vérification d’audit fournit les tests supplémentaires suivants concernant la qualité de votre clé de chiffrement :

  • CVE-2008-0166 – Vérifie si la clé a été générée à l’aide d’OpenSSL versions 0.9.8c-1 à 0.9.8g-9 (non incluse) sur un système d’exploitation basé sur Debian. Ces versions d’OpenSSL utilisent un générateur de nombres aléatoires qui génère des nombres prévisibles, ce qui facilite les attaques par force brute des clés de chiffrement menées par des personnes malveillantes.

  • CVE-2017-15361 – Vérifiez si la clé a été générée par la bibliothèque Infineon RSA 1.02.013 dans le micrologiciel Infineon Trusted Platform Module (TPM), comme les versions antérieures à 0000000000000422 – 4.34, avant 000000000000062b – 6.43 et avant 0000000000008521 – 133.33. Cette bibliothèque gère de manière incorrecte la génération de clés RSA, ce qui permet aux personnes malveillantes de vaincre plus facilement certains mécanismes de protection de chiffrement grâce à des attaques ciblées. BitLocker avec TPM 1.2, la génération de clés PGP YubiKey 4 (avant 4.3.5) et la fonctionnalité de chiffrement des données utilisateur mises en cache dans Chrome OS sont des exemples de technologies ayant été affectées.

AWS IoT Device Defender déclare les certificats non conformes s’ils échouent à ces tests.

Cette vérification apparaît comme CA_CERTIFICATE_KEY_QUALITY_CHECK dans la CLI et l'API.

Gravité : critique

Détails

Ce contrôle s’applique aux certificats CA ACTIVE ou PENDING_TRANSFER.

Les codes de motif sont renvoyés lorsque ce contrôle trouve un certificat non conforme :

  • CERTIFICATE_KEY_VULNERABILITY_CVE-2017-15361

  • CERTIFICATE_KEY_VULNERABILITY_CVE-2008-0166

Pourquoi est-ce important ?

Les appareils nouvellement ajoutés signés à l'aide de ce certificat CA peuvent constituer une menace pour la sécurité.

Comment réparer

  1. Utilisez UpdateCACertificate pour marquer le certificat CA comme INACTIVE (INACTIF) dans AWS IoT. Vous pouvez également utiliser des actions d’atténuation pour effectuer les actions suivantes :

    • Appliquer l’action d’atténuation UPDATE_CA_CERTIFICATE sur vos résultats d’audit pour effectuer ce changement.

    • Appliquer l’action d’atténuation PUBLISH_FINDINGS_TO_SNS si vous souhaitez mettre en œuvre une réponse personnalisée pour répondre au message Amazon SNS.

    Pour plus d’informations, consultez Actions d'atténuation.

  2. Vérifiez l’activité d’enregistrement de certificat d’appareil pendant la période après laquelle le certificat de CA a été révoqué et envisagez de révoquer les certificats d’appareil qui ont pu être émis pendant cette période. (Utilisez ListCertificatesByCA pour répertorier les certificats d'appareil signés par le certificat CA et UpdateCertificate pour révoquer un certificat d'appareil.)