• IT-Karriere:
  • Services:

Empfehlungen für Gerätehersteller und ISPs

Gerätehersteller sollten laut SEC Consult dafür sorgen, dass jedes Gerät einen eigenen, einmaligen kryptographischen Schlüssel erhält. Dieser kann entweder bei der Herstellung auf das Gerät gebracht oder dynamisch erstellt werden. Beide Methoden haben allerdings ihre Tücken. Erstellt der Hersteller die Keys selber, so kann er theoretisch die privaten Schlüssel behalten. Der Nutzer muss darauf vertrauen, dass der Hersteller damit sensibel umgeht.

Stellenmarkt
  1. KKH Kaufmännische Krankenkasse, Hannover
  2. dSPACE GmbH, Paderborn

Beim dynamischen Herstellen der Keys auf den Geräten ist oft ein Problem, dass schlechte Zufallszahlen verwendet werden. Beispielsweise werden unter Linux, das sehr häufig auf Embedded-Geräten genutzt wird, Tastatureingaben, Festplattenzugriffszeiten und ähnliche Daten genutzt, um den Zufallszahlengenerator zu initialisieren. Doch viele Embedded-Geräte haben weder Festplatten noch Eingabegeräte. Somit stehen insbesondere kurz nach dem Booten keine ausreichenden Entropiequellen für den Zufallszahlengenerator zur Verfügung. Kryptographische Schlüssel, die sich aufgrund von schlechten Zufallszahlen brechen lassen, waren nicht Teil der Untersuchungen von SEC Consult. Insbesondere das oben bereits erwähnte Forschungsprojekt von Nadia Heninger hat aber in der Vergangenheit zahlreiche Geräte gefunden, die von derartigen Problemen betroffen waren. In neueren Linux-Versionen steht ein Syscall zur Verfügung, den man so nutzen kann, dass Zufallszahlen nur dann erzeugt werden, wenn bereits ausreichend Entropie für den Zufallszahlengenerator gesammelt wurde.

Technisch versierte Nutzer können in manchen Fällen selbst die vorhandenen Schlüssel und Zertifikate austauschen. Allerdings ist das nicht bei allen Geräten möglich. Auch weisen die Forscher von SEC Consult darauf hin, dass das Erstellen von Schlüsseln und Zertifikaten relativ komplex ist und man von einfachen Nutzern nicht erwarten kann, dass sie dazu in der Lage sind.

Internet-Zugangsprovider sollten nach Ansicht von SEC Consult dafür sorgen, dass Administrationsinterfaces von Geräten, die an Kunden ausgeliefert werden, nicht im Internet erreichbar sind. Remote-Administrationsinterfaces sollten so konfiguriert sein, dass sie nur aus einem restriktiv konfigurierten privaten Netz des Providers erreichbar sind. Auch sollte dafür gesorgt werden, dass sich die Geräte untereinander nicht erreichen können.

Das CERT/CC hat ein Advisory zu den Sicherheitslücken herausgegeben. Von den meisten Herstellern der betroffenen Geräte gibt es bislang weder eine Reaktion noch ein Update. SEC Consult plant, in Kürze sämtliche gefundenen privaten Schlüssel zu veröffentlichen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 HTTPS/SSH: Embedded-Geräte von 50 Herstellern benutzen unsichere Keys
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. 69,99€ (Xbox Series X)
  2. (u. a. Pure Power 11 500W PC-Netzteil für 64,90€, Silent Wings 3 140 mm PWM Gehäuselüfter für...
  3. (u. a. Xiaomi POCO X3 6GB 128GB 6.67 Zoll für 197,10€, Xiaomi 4S 55 Zoll LED-TV für 377,10€)
  4. (u. a. Frontier Dev. Angebote (u. a. Elite Dangerous für 5,99€, Struggling für 7,25€), Take...

decaflon 29. Nov 2015

Wann soll denn diese gute alte Zeit mit dem "Qualitätsjournalismus" gewesen sein? Ich...

1ras 28. Nov 2015

Hab mich schon gefragt, wann es mal zum Thema wird. Einem SSH-(Host)Key kann man nur...


Folgen Sie uns
       


Linux unter Windows 10 installieren - Tutorial

Wir zeigen im Video, wie man in wenigen Minuten Linux unter Windows 10 zum Laufen bringt.

Linux unter Windows 10 installieren - Tutorial Video aufrufen
    •  /