Qualité de la clé du certificat de l'appareil - AWS IoT Device Defender
DétailsPourquoi est-ce important ?Comment réparer

Qualité de la clé du certificat de l'appareil

Les clients AWS IoT s’appuient souvent sur l’authentification mutuelle TLS à l’aide de certificats X.509 pour s’authentifier auprès de l’agent de messages AWS IoT. Ces certificats et leurs certificats d'autorité de certification doivent être enregistrés dans leur compte AWS IoT avant d'être utilisés. AWS IoT effectue les vérifications d'intégrité élémentaires sur ces certificats lorsqu'ils sont enregistrés. Ces vérifications portent notamment sur les éléments suivants :

  • Le format des certificats doit être valide.

  • Les certificats doivent être signés par une autorité de certification enregistrée.

  • La période de validité des certificats ne doit pas avoir expiré.

  • La taille des clé de chiffrement des certificats doit correspondre à une taille minimale requise (pour les clés RSA, elles doivent être de 2 048 bits ou plus).

Cette vérification d’audit fournit les tests supplémentaires suivants concernant la qualité de votre clé de chiffrement :

  • CVE-2008-0166 – Vérifie si la clé a été générée à l’aide d’OpenSSL versions 0.9.8c-1 à 0.9.8g-9 (non incluse) sur un système d’exploitation basé sur Debian. Ces versions d’OpenSSL utilisent un générateur de nombres aléatoires qui génère des nombres prévisibles, ce qui facilite les attaques par force brute des clés de chiffrement menées par des personnes malveillantes.

  • CVE-2017-15361 – Vérifiez si la clé a été générée par la bibliothèque Infineon RSA 1.02.013 dans le micrologiciel Infineon Trusted Platform Module (TPM), comme les versions antérieures à 0000000000000422 – 4.34, avant 000000000000062b – 6.43 et avant 0000000000008521 – 133.33. Cette bibliothèque gère de manière incorrecte la génération de clés RSA, ce qui permet aux personnes malveillantes de vaincre plus facilement certains mécanismes de protection de chiffrement grâce à des attaques ciblées. BitLocker avec TPM 1.2, la génération de clés PGP YubiKey 4 (avant 4.3.5) et la fonctionnalité de chiffrement des données utilisateur mises en cache dans Chrome OS sont des exemples de technologies ayant été affectées.

AWS IoT Device Defender déclare les certificats non conformes s’ils échouent à ces tests.

Cette vérification apparaît comme DEVICE_CERTIFICATE_KEY_QUALITY_CHECK dans la CLI et l'API.

Gravité : critique

Détails

Ce contrôle s’applique aux certificats d’appareil qui sont ACTIVE ou PENDING_TRANSFER.

Les codes de motif sont renvoyés lorsque ce contrôle trouve un certificat non conforme :

  • CERTIFICATE_KEY_VULNERABILITY_CVE-2017-15361

  • CERTIFICATE_KEY_VULNERABILITY_CVE-2008-0166

Pourquoi est-ce important ?

Lorsqu'un appareil utilise un certificat vulnérable, les personnes malveillantes peuvent plus facilement le compromettre.

Comment réparer

Mettez à jour les certificats de vos appareils afin de remplacer ceux qui présentent des vulnérabilités connues.

Si vous utilisez le même certificat sur plusieurs appareils, vous pouvez :

  1. Allouer de nouveaux certificats uniques et les attacher à chaque appareil.

  2. Vérifier que les nouveaux certificats sont valides et que les appareils peuvent les utiliser pour se connecter.

  3. Utiliser UpdateCertificate pour marquer l’ancien certificat comme REVOKED (RÉVOQUÉ) dans AWS IoT. Vous pouvez également utiliser des actions d’atténuation pour effectuer les actions suivantes :

    • Appliquer l’action d’atténuation UPDATE_DEVICE_CERTIFICATE sur vos résultats d’audit pour effectuer ce changement.

    • Appliquer l’action d’atténuation ADD_THINGS_TO_THING_GROUP pour ajouter le dispositif à un groupe où vous pouvez prendre des mesures à son égard.

    • Appliquer l’action d’atténuation PUBLISH_FINDINGS_TO_SNS si vous souhaitez mettre en œuvre une réponse personnalisée pour répondre au message Amazon SNS.

    Pour plus d’informations, consultez Actions d'atténuation.

  4. Détacher l’ancien certificat de chacun des appareils.