Abo
  • Services:
Anzeige
Der Speedport Hybrid der Telekom - eines von vielen Geräten, deren private Schlüssel nicht mehr privat sind
Der Speedport Hybrid der Telekom - eines von vielen Geräten, deren private Schlüssel nicht mehr privat sind (Bild: Telekom)

Empfehlungen für Gerätehersteller und ISPs

Anzeige

Gerätehersteller sollten laut SEC Consult dafür sorgen, dass jedes Gerät einen eigenen, einmaligen kryptographischen Schlüssel erhält. Dieser kann entweder bei der Herstellung auf das Gerät gebracht oder dynamisch erstellt werden. Beide Methoden haben allerdings ihre Tücken. Erstellt der Hersteller die Keys selber, so kann er theoretisch die privaten Schlüssel behalten. Der Nutzer muss darauf vertrauen, dass der Hersteller damit sensibel umgeht.

Beim dynamischen Herstellen der Keys auf den Geräten ist oft ein Problem, dass schlechte Zufallszahlen verwendet werden. Beispielsweise werden unter Linux, das sehr häufig auf Embedded-Geräten genutzt wird, Tastatureingaben, Festplattenzugriffszeiten und ähnliche Daten genutzt, um den Zufallszahlengenerator zu initialisieren. Doch viele Embedded-Geräte haben weder Festplatten noch Eingabegeräte. Somit stehen insbesondere kurz nach dem Booten keine ausreichenden Entropiequellen für den Zufallszahlengenerator zur Verfügung. Kryptographische Schlüssel, die sich aufgrund von schlechten Zufallszahlen brechen lassen, waren nicht Teil der Untersuchungen von SEC Consult. Insbesondere das oben bereits erwähnte Forschungsprojekt von Nadia Heninger hat aber in der Vergangenheit zahlreiche Geräte gefunden, die von derartigen Problemen betroffen waren. In neueren Linux-Versionen steht ein Syscall zur Verfügung, den man so nutzen kann, dass Zufallszahlen nur dann erzeugt werden, wenn bereits ausreichend Entropie für den Zufallszahlengenerator gesammelt wurde.

Technisch versierte Nutzer können in manchen Fällen selbst die vorhandenen Schlüssel und Zertifikate austauschen. Allerdings ist das nicht bei allen Geräten möglich. Auch weisen die Forscher von SEC Consult darauf hin, dass das Erstellen von Schlüsseln und Zertifikaten relativ komplex ist und man von einfachen Nutzern nicht erwarten kann, dass sie dazu in der Lage sind.

Internet-Zugangsprovider sollten nach Ansicht von SEC Consult dafür sorgen, dass Administrationsinterfaces von Geräten, die an Kunden ausgeliefert werden, nicht im Internet erreichbar sind. Remote-Administrationsinterfaces sollten so konfiguriert sein, dass sie nur aus einem restriktiv konfigurierten privaten Netz des Providers erreichbar sind. Auch sollte dafür gesorgt werden, dass sich die Geräte untereinander nicht erreichen können.

Das CERT/CC hat ein Advisory zu den Sicherheitslücken herausgegeben. Von den meisten Herstellern der betroffenen Geräte gibt es bislang weder eine Reaktion noch ein Update. SEC Consult plant, in Kürze sämtliche gefundenen privaten Schlüssel zu veröffentlichen.

 HTTPS/SSH: Embedded-Geräte von 50 Herstellern benutzen unsichere Keys

eye home zur Startseite
decaflon 29. Nov 2015

Wann soll denn diese gute alte Zeit mit dem "Qualitätsjournalismus" gewesen sein? Ich...

1ras 28. Nov 2015

Hab mich schon gefragt, wann es mal zum Thema wird. Einem SSH-(Host)Key kann man nur...



Anzeige

Stellenmarkt
  1. Soluvia IT-Services GmbH, Mannheim
  2. Consultix GmbH, Bremen
  3. CITYCOMP Service GmbH, deutschlandweit
  4. Caesar & Loretz GmbH, Hilden


Anzeige
Hardware-Angebote
  1. ab 179,99€
  2. 56,08€ (Vergleichspreis ab ca. 65€)

Folgen Sie uns
       


  1. Glasfaser

    Telekom wegen fehlendem FTTH massiv unter Druck

  2. Offene Konsole

    Ataribox entspricht Mittelklasse-PC mit Linux

  3. Autoversicherungen

    HUK-Coburg verlässt "relativ teure Vergleichsportale"

  4. RT-AC86U

    Asus-Router priorisiert Gaming-Pakete und kann 1024QAM

  5. CDN

    Cloudflare bietet lokale TLS-Schlüssel und mehr DDoS-Schutz

  6. Star Trek Discovery angeschaut

    Star Trek - Eine neue Hoffnung

  7. Gemeinde Egelsbach

    Telekom-Glasfaser in Gewerbegebiet findet schnell Kunden

  8. Microsoft

    Programme für Quantencomputer in Visual Studio entwickeln

  9. Arbeitsspeicher

    DDR5 nutzt Spannungsversorgung auf dem Modul

  10. Video-Pass

    Auch Vodafone führt Zero-Rating-Angebot ein



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Die Woche im Video Schwachstellen, wohin man schaut
  2. Drei Modelle vorgestellt Elektrokleinwagen e.Go erhöht die Spannung
  3. Automated Valet Parking Lass das Parkhaus das Auto parken!

Apples iPhone X in der Analyse: Ein iPhone voller interessanter Herausforderungen
Apples iPhone X in der Analyse
Ein iPhone voller interessanter Herausforderungen
  1. Smartphone Apple könnte iPhone X verspätet ausliefern
  2. Face ID Apple erlaubt nur ein Gesicht pro iPhone X
  3. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro

  1. Da dürfte Valve nichts dagegen haben

    der_Raupinger | 18:43

  2. Re: Style over Substance Hardcore.

    Hotohori | 18:42

  3. Re: Falsch!

    tk (Golem.de) | 18:42

  4. Re: Und bei DSL?

    Ovaron | 18:39

  5. Schade, dass man hier keine Bilder einbetten kann

    __destruct() | 18:37


  1. 18:36

  2. 17:20

  3. 17:00

  4. 16:44

  5. 16:33

  6. 16:02

  7. 15:20

  8. 14:46


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel