Abo
  • Services:

Empfehlungen für Gerätehersteller und ISPs

Gerätehersteller sollten laut SEC Consult dafür sorgen, dass jedes Gerät einen eigenen, einmaligen kryptographischen Schlüssel erhält. Dieser kann entweder bei der Herstellung auf das Gerät gebracht oder dynamisch erstellt werden. Beide Methoden haben allerdings ihre Tücken. Erstellt der Hersteller die Keys selber, so kann er theoretisch die privaten Schlüssel behalten. Der Nutzer muss darauf vertrauen, dass der Hersteller damit sensibel umgeht.

Stellenmarkt
  1. natGAS Aktiengesellschaft, Potsdam
  2. SEG Automotive Germany GmbH über KÖNIGSTEINER AGENTUR, Stuttgart-Weilimdorf

Beim dynamischen Herstellen der Keys auf den Geräten ist oft ein Problem, dass schlechte Zufallszahlen verwendet werden. Beispielsweise werden unter Linux, das sehr häufig auf Embedded-Geräten genutzt wird, Tastatureingaben, Festplattenzugriffszeiten und ähnliche Daten genutzt, um den Zufallszahlengenerator zu initialisieren. Doch viele Embedded-Geräte haben weder Festplatten noch Eingabegeräte. Somit stehen insbesondere kurz nach dem Booten keine ausreichenden Entropiequellen für den Zufallszahlengenerator zur Verfügung. Kryptographische Schlüssel, die sich aufgrund von schlechten Zufallszahlen brechen lassen, waren nicht Teil der Untersuchungen von SEC Consult. Insbesondere das oben bereits erwähnte Forschungsprojekt von Nadia Heninger hat aber in der Vergangenheit zahlreiche Geräte gefunden, die von derartigen Problemen betroffen waren. In neueren Linux-Versionen steht ein Syscall zur Verfügung, den man so nutzen kann, dass Zufallszahlen nur dann erzeugt werden, wenn bereits ausreichend Entropie für den Zufallszahlengenerator gesammelt wurde.

Technisch versierte Nutzer können in manchen Fällen selbst die vorhandenen Schlüssel und Zertifikate austauschen. Allerdings ist das nicht bei allen Geräten möglich. Auch weisen die Forscher von SEC Consult darauf hin, dass das Erstellen von Schlüsseln und Zertifikaten relativ komplex ist und man von einfachen Nutzern nicht erwarten kann, dass sie dazu in der Lage sind.

Internet-Zugangsprovider sollten nach Ansicht von SEC Consult dafür sorgen, dass Administrationsinterfaces von Geräten, die an Kunden ausgeliefert werden, nicht im Internet erreichbar sind. Remote-Administrationsinterfaces sollten so konfiguriert sein, dass sie nur aus einem restriktiv konfigurierten privaten Netz des Providers erreichbar sind. Auch sollte dafür gesorgt werden, dass sich die Geräte untereinander nicht erreichen können.

Das CERT/CC hat ein Advisory zu den Sicherheitslücken herausgegeben. Von den meisten Herstellern der betroffenen Geräte gibt es bislang weder eine Reaktion noch ein Update. SEC Consult plant, in Kürze sämtliche gefundenen privaten Schlüssel zu veröffentlichen.

 HTTPS/SSH: Embedded-Geräte von 50 Herstellern benutzen unsichere Keys
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. beim Kauf ausgewählter Z370-Boards mit Intel Optane Speicher + Intel SSD
  3. ab 349€
  4. bei Caseking kaufen

decaflon 29. Nov 2015

Wann soll denn diese gute alte Zeit mit dem "Qualitätsjournalismus" gewesen sein? Ich...

1ras 28. Nov 2015

Hab mich schon gefragt, wann es mal zum Thema wird. Einem SSH-(Host)Key kann man nur...


Folgen Sie uns
       


Byton K-Byte - Bericht

Byton stellt in China den K-Byte vor.

Byton K-Byte - Bericht Video aufrufen
Gemini PDA im Test: 2004 ist nicht 2018
Gemini PDA im Test
2004 ist nicht 2018

Knapp über ein Jahr nach der erfolgreichen Finanzierung hat das Startup Planet Computers mit der Auslieferung seines Gemini PDA begonnen. Die Tastatur ist gewöhnungsbedürftig, längere Texte lassen sich aber mit Geduld durchaus damit tippen. Die Frage ist: Brauchen wir heute noch einen PDA?
Ein Test von Tobias Költzsch und Sebastian Grüner

  1. Atom Wasserfestes Mini-Smartphone binnen einer Minute finanziert
  2. Librem 5 Freies Linux-Smartphone wird größer und kantig
  3. Smartphone-Verkäufe Xiaomi erobert Platz vier hinter Huawei, Apple und Samsung

Sonnet eGFX Box 650 im Test: Wenn die Vega 64 am Thinkpad rechnet
Sonnet eGFX Box 650 im Test
Wenn die Vega 64 am Thinkpad rechnet

Die eGFX Box 650 von Sonnet ist ein eGPU-Gehäuse, das dank 650-Watt-Netzteil auch mit AMDs Radeon RX Vega 64 läuft. Die Box ist zwar recht leise, dennoch würden wir den Lüfter gerne steuern.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Razer Core X eGPU-Box kostet 300 Euro
  2. eGFX Breakaway Box 650 Sonnets Grafik-Gehäuse läuft mit Vega 64
  3. XG Station Pro Asus' zweite eGPU-Box ist schlicht

K-Byte: Byton fährt ein irres Tempo
K-Byte
Byton fährt ein irres Tempo

Das Startup Byton zeigt zur Eröffnung der Elektronikmesse CES Asia in Shanghai das Modell K-Byte. Die elektrische Limousine basiert auf der Plattform des SUV, der vor fünf Monaten auf der CES in Las Vegas vorgestellt wurde. Unter deutscher Führung nimmt der Elektroautohersteller in China mächtig Fahrt auf.
Ein Bericht von Dirk Kunde

  1. Elektromobiltät UPS kauft 1.000 Elektrolieferwagen von Workhorse
  2. KYMCO Elektroroller mit Tauschakku-Infrastruktur
  3. Elektromobilität Niu stellt zwei neue Elektromotorroller vor

    •  /