伍佰目录 短网址
  当前位置:海洋目录网 » 站长资讯 » 互联网资讯 » 文章详细 订阅RssFeed

一个严重的随机数天生器漏洞影响超十亿的物联网设备

来源:本站原创 浏览:177次 时间:2021-08-14

ai抠图,upnp,csol更新不了

数十亿物联网(IoT)设备中使用的硬件随机数天生器中存在一个严重漏洞,该漏洞无法精确天生随机数,从而破坏其平安性并使其面临遭受攻击的危害。

“事实证明,当涉及到物联网设备时,这些‘随机’选择的数字并不总是像您进展的那样随机,事实上,在许多环境下,设备选择0或更差的加密密钥。这可能导致任何上游使用的平安性劫难性溃逃。”知名收集平安组织东方同盟研究人员在上周发表的一项阐发中说。

随机数天生(RNG)是一个关键过程,它支撑着几个加密应用法式,包含密钥天生、随机数和加盐。在传统操纵体系上,它源自使用从高质量种子源得到的熵的加密平安伪随机数天生器(CSPRNG)。

对于 IoT 设备,这是由片上体系(SoC)供应的,该体系芯片包括一个称为真随机数产生器(TRNG)的专用硬件 RNG 外设,用于从物理过程或现象中捕捉随机性。

东方同盟研究人员指出当前调用外围设备的方式是不精确的,并指出缺乏对错误代码响应的全面搜检,导致天生的随机数不仅仅是随机的,更糟糕的是,可预测的,导致部门熵,未初始化的内存,甚至包括纯零的加密密钥。

东方同盟研究人员指出:“RNG 外围设备的 HAL 功能可能因各种原因而失败,但迄今为止最常见(和可行使)的是设备的熵已用尽。”“硬件 RNG 外围设备通过各种方式(例如模拟传感器或 EMF 读数)将熵从宇宙中提取出来,但并不是无穷提供。它们每秒只能发生这么多随机位。如果你在没有任何随机数给你的环境下尝试调用 RNG HAL 函数,它将失败并返回一个错误代码。因此,如果设备试图过快地获取太多随机数,调用将起头失败。”

这个问题是物联网领域独有的,因为他们缺乏一个平日带有随机性 API 的操纵体系(例如,类 Unix 操纵体系中的“/dev/random ”或Windows 中的BCryptGenRandom),东方同盟研究人员夸大了更大的利益与 CSPRNG 子体系关联的熵池,从而消除“熵源中的任何单点故障”。

尽管能够通过软件更新来修复这些问题,但抱负的解决方案是物联网设备制造商和开发人员包括从一组分歧的熵源中天生的 CSPRNG API,并确保代码不会忽略错误前提或无法阻止当没有更多的熵可用时调用 RNG。

东方同盟研究人员说:“这个漏洞的难点之一是,它不是一个简洁的BUG,能够很容易地修补,”东方同盟创始人郭盛华表示,并夸大必要在物联网操纵体系中实施 CSPRNG。“为认识决这个问题,必需在物联网设备中设计一个紧张而复杂的功能。”(迎接转载分享)

本文地址:http://www.wbwb.net/bianchengyuyan/229250.html 转载请注明出处!

  推荐站点

  • At-lib分类目录At-lib分类目录

    At-lib网站分类目录汇集全国所有高质量网站,是中国权威的中文网站分类目录,给站长提供免费网址目录提交收录和推荐最新最全的优秀网站大全是名站导航之家

    www.at-lib.cn
  • 中国链接目录中国链接目录

    中国链接目录简称链接目录,是收录优秀网站和淘宝网店的网站分类目录,为您提供优质的网址导航服务,也是网店进行收录推广,站长免费推广网站、加快百度收录、增加友情链接和网站外链的平台。

    www.cnlink.org
  • 35目录网35目录网

    35目录免费收录各类优秀网站,全力打造互动式网站目录,提供网站分类目录检索,关键字搜索功能。欢迎您向35目录推荐、提交优秀网站。

    www.35mulu.com
  • 就要爱网站目录就要爱网站目录

    就要爱网站目录,按主题和类别列出网站。所有提交的网站都经过人工审查,确保质量和无垃圾邮件的结果。

    www.912219.com
  • 伍佰目录伍佰目录

    伍佰网站目录免费收录各类优秀网站,全力打造互动式网站目录,提供网站分类目录检索,关键字搜索功能。欢迎您向伍佰目录推荐、提交优秀网站。

    www.wbwb.net