디바이스 인증서 키 품질

AWS IoT 고객은 종종 AWS IoT 메시지 브로커를 인증하기 위해 X.509 인증서를 사용하는 TLS 상호 인증에 의존합니다. 이러한 인증서 및 해당 인증 기관 인증서를 사용하려면 먼저 해당 AWS IoT 계정에 등록해야 합니다. AWS IoT는 등록 시 이러한 인증서에 대해 기본 안전성 점검을 수행합니다. 이러한 점검에는 다음을 확인합니다.

• 인증서가 유효한 형식이어야 합니다.

• 인증서가 등록된 인증 기관에 의해 서명되어야 합니다.

• 인증서 유효 기간이 남아 있어야 합니다. 즉, 만료되지 않은 상태여야 합니다.

• 인증서의 암호화 키 크기가 최소 필수 크기를 충족해야 합니다. RSA 키의 경우 2048비트 이상이어야 합니다.

이 감사 검사에서는 암호화 키의 품질을 다음과 같이 추가로 테스트해야 합니다.

• CVE-2008-0166 – Debian 기반 운영 체제에서 0.9.8g-9 이전 버전까지의 OpenSSL 0.9.8c-1을 사용하여 키가 생성되었는지 확인합니다. 이러한 OpenSSL 버전은 예측 가능한 숫자를 생성하는 난수 생성기를 사용하므로 원격 공격자가 암호화 키에 대한 무차별 대입 공격을 더 쉽게 수행할 수 있습니다.

• CVE-2017-15361 – TPM(Infineon Trusted Platform Module) 펌웨어(예: 0000000000000422 - 4.34 이전 버전, 000000000000062b - 6.43 이전 버전 및 0000000000008521 - 133.33 이전 버전)에서 Infineon RSA 라이브러리 1.02.013에 의해 키가 생성되었는지 확인합니다. 이 라이브러리는 RSA 키 생성을 잘못 처리하기 때문에 공격자가 표적 공격을 통해 일부 암호화 보호 메커니즘을 더 쉽게 파괴할 수 있습니다. 영향을 받는 기술의 예로는 TPM 1.2의 BitLocker, YubiKey 4(4.3.5 이전) PGP 키 생성 및 Chrome OS의 캐시된 사용자 데이터 암호화 기능이 있습니다.

AWS IoT Device Defender는 이러한 테스트에 실패한 인증서를 규정 미준수 인증서로 보고합니다.

이 점검은 CLI 및 API에서 DEVICE_CERTIFICATE_KEY_QUALITY_CHECK와(과) 같이 나타납니다.

심각도: 심각

Details

이 점검은 ACTIVE 또는 PENDING_TRANSFER 상태인 디바이스 인증서에 적용됩니다.

이 점검에서 규정 미준수 인증서가 발견된 경우 다음 사유 코드가 반환됩니다.

• CERTIFICATE_KEY_VULNERABILITY_CVE-2017-15361

• CERTIFICATE_KEY_VULNERABILITY_CVE-2008-0166

이것이 중요한 이유

디바이스에서 취약한 인증서를 사용하는 경우 공격자가 해당 디바이스를 더 쉽게 손상시킬 수 있습니다.

수정 방법

디바이스 인증서를 업데이트하여 이러한 취약성을 알려진 취약성으로 바꿉니다.

여러 디바이스에 동일한 인증서를 사용하는 경우 다음과 같이 하는 것이 좋습니다.

1. 고유한 새 인증서를 프로비저닝하고 각 디바이스에 연결합니다.

2. 새 인증서가 유효하고 디바이스가 해당 인증서를 사용하여 연결할 수 있는지 확인합니다.

3. UpdateCertificate을 사용하여 이전 인증서를 AWS IoT에서 취소됨(REVOKED)으로 표시합니다. 완화 작업을 사용하면 다음을 수행할 수 있습니다.

   • 이 변경사항을 실행하려면 감사 결과에서 UPDATE_DEVICE_CERTIFICATE 완화 작업을 적용합니다.

   • 조치를 취할 수 있는 그룹에 디바이스를 추가하려면 ADD_THINGS_TO_THING_GROUP 완화 조치를 적용합니다.

   • Amazon SNS 메시지에 대해 사용자 지정 응답을 구현하려면 PUBLISH_FINDINGS_TO_SNS 완화 작업을 적용합니다.

   자세한 내용은 완화 작업 단원을 참조하세요.

4. 각 디바이스에서 이전 인증서를 분리합니다.