Kualitas kunci sertifikat perangkat - AWSIoT Device Defender
DetailMengapa itu pentingBagaimana cara memperbaikinya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kualitas kunci sertifikat perangkat

AWS IoT pelanggan sering mengandalkan otentikasi TLS timbal balik menggunakan sertifikat X.509 untuk mengautentikasi ke broker pesan. AWS IoT Sertifikat ini dan sertifikat otoritas sertifikat mereka harus terdaftar di AWS IoT akun mereka sebelum digunakan. AWS IoT melakukan pemeriksaan kewarasan dasar pada sertifikat ini ketika mereka terdaftar. Pemeriksaan ini meliputi:

  • Mereka harus dalam format yang valid.

  • Mereka harus ditandatangani oleh otoritas sertifikat terdaftar.

  • Mereka harus masih dalam masa berlakunya (dengan kata lain, mereka belum kedaluwarsa).

  • Ukuran kunci kriptografi mereka harus memenuhi ukuran minimum yang diperlukan (untuk RSA kunci, mereka harus 2048 bit atau lebih besar).

Pemeriksaan audit ini memberikan tes tambahan berikut tentang kualitas kunci kriptografi Anda:

  • CVE-2008-0166 — Periksa apakah kunci dihasilkan menggunakan Open SSL 0.9.8c-1 hingga versi sebelum 0.9.8g-9 pada sistem operasi berbasis Debian. Versi Open tersebut SSL menggunakan generator angka acak yang menghasilkan angka yang dapat diprediksi, sehingga memudahkan penyerang jarak jauh untuk melakukan serangan tebakan brute force terhadap kunci kriptografi.

  • CVE-2017-15361 — Periksa apakah kunci dihasilkan oleh RSA perpustakaan Infineon 1.02.013 di firmware Infineon Trusted Platform Module (TPM), seperti versi sebelum 0000000000000422 — 4.34, sebelum 000000000000062b — 6.43, dan sebelum 0000000000008521 — 133.33. Perpustakaan itu salah menangani pembuatan RSA kunci, sehingga memudahkan penyerang untuk mengalahkan beberapa mekanisme perlindungan kriptografi melalui serangan yang ditargetkan. Contoh teknologi yang terpengaruh termasuk BitLocker dengan TPM 1.2, YubiKey 4 (sebelum 4.3.5) pembuatan PGP kunci, dan fitur enkripsi Data Pengguna Cached di Chrome OS.

AWS IoT Device Defender melaporkan sertifikat sebagai tidak patuh jika gagal dalam pengujian ini.

Pemeriksaan ini muncul seperti DEVICE_CERTIFICATE_KEY_QUALITY_CHECK pada CLI danAPI.

Tingkat keparahan: Kritis

Detail

Pemeriksaan ini berlaku untuk sertifikat perangkat yang ada ACTIVE atau PENDING _TRANSFER.

Alasan berikut kode dikembalikan ketika cek ini menemukan sertifikat yang tidak sesuai:

  • CERTIFICATE_ _ KEY VULNERABILITY _ CVE -2017-15361

  • CERTIFICATE_ _ KEY VULNERABILITY _ CVE -2008-0166

Mengapa itu penting

Ketika perangkat menggunakan sertifikat rentan, penyerang dapat lebih mudah membahayakan perangkat itu.

Bagaimana cara memperbaikinya

Perbarui sertifikat perangkat Anda untuk menggantikan sertifikat yang memiliki kerentanan yang diketahui.

Jika Anda menggunakan sertifikat yang sama di beberapa perangkat, Anda mungkin ingin:

  1. Berikan sertifikat baru dan unik dan lampirkan ke setiap perangkat.

  2. Verifikasi bahwa sertifikat baru valid dan perangkat dapat menggunakannya untuk terhubung.

  3. Gunakan UpdateCertificateuntuk menandai sertifikat lama seperti REVOKED dalam AWS IoT. Anda juga dapat menggunakan tindakan mitigasi untuk:

    • Terapkan tindakan UPDATE_DEVICE_CERTIFICATE mitigasi pada temuan audit Anda untuk membuat perubahan ini.

    • Terapkan tindakan ADD_THINGS_TO_THING_GROUP mitigasi untuk menambahkan perangkat ke grup tempat Anda dapat mengambil tindakan terhadapnya.

    • Terapkan tindakan PUBLISH_FINDINGS_TO_SNS mitigasi jika Anda ingin menerapkan respons khusus sebagai respons terhadap pesan AmazonSNS.

    Untuk informasi selengkapnya, lihat Tindakan mitigasi.

  4. Lepaskan sertifikat lama dari masing-masing perangkat.