Calidad de la clave del certificado de entidad de certificación - AWS IoT Device Defender
Detalles¿Por qué importa?Cómo solucionarlo

Calidad de la clave del certificado de entidad de certificación

Los clientes de AWS IoT suelen confiar en la autenticación mutua de TLS mediante certificados X.509 para autenticarse en el agente de mensajes de AWS IoT. Estos certificados y los certificados de la entidad de certificación deben registrarse en la cuenta de AWS IoT para poder utilizarlos. AWS IoT realiza comprobaciones de verificación básicas en estos certificados cuando se registran, incluidas las siguientes:

  • Los certificados tienen un formato válido.

  • Los certificados están dentro de su período de validez (es decir, no han caducado).

  • Los tamaños de la clave criptográfica cumplen con un tamaño mínimo requerido (para las claves RSA deben ser de 2048 bits o más).

Esta comprobación de auditoría proporciona las siguientes pruebas adicionales de la calidad de la clave criptográfica:

  • CVE-2008-0166: comprueba si la clave se generó usando OpenSSL 0.9.8c-1 hasta versiones anteriores a 0.9.8g-9 en un sistema operativo basado en Debian. Esas versiones de OpenSSL utilizan un generador de números aleatorios que genera números predecibles, lo que permite a los atacantes remotos realizar ataques de adivinación de fuerza bruta contra claves criptográficas.

  • CVE-2017-15361: comprueba si la clave se generó mediante la biblioteca Infineon RSA 1.02.013 en el firmware Infineon Trusted Platform Module (TPM), como las versiones anteriores a 0000000000000422 – 4.34, anteriores a 000000000000062b – 6.43 y anteriores a 0000000000008521 – 133.33. Esa biblioteca trata de forma inadecuada la generación de claves RSA, lo que permite a los atacantes frustrar algunos mecanismos de protección criptográfica a través de ataques dirigidos. Algunos ejemplos de tecnologías afectadas son BitLocker con TPM 1.2, generación de claves PGP de YubiKey 4 (anterior a 4.3.5) y la función de cifrado de datos de usuario en caché en el sistema operativo Chrome.

AWS IoT Device Defender registra los certificados como no conformes si no superan estas comprobaciones.

Esta comprobación aparece como CA_CERTIFICATE_KEY_QUALITY_CHECK en la CLI y la API.

Gravedad: crítica

Detalles

Esta comprobación se aplica a los certificados de CA ACTIVE o PENDING_TRANSFER.

Se devuelven los siguientes códigos de motivo cuando esta comprobación encuentra un certificado no conforme:

  • CERTIFICATE_KEY_VULNERABILITY_CVE-2017-15361

  • CERTIFICATE_KEY_VULNERABILITY_CVE-2008-0166

¿Por qué importa?

Los dispositivos agregados recientemente firmados con este certificado de entidad de certificación pueden constituir una amenaza para la seguridad.

Cómo solucionarlo

  1. Utilice UpdateCACertificate para marcar el certificado de entidad de certificación como INACTIVO en AWS IoT. También puede utilizar acciones de mitigación para:

    • Aplicar la acción de mitigación UPDATE_CA_CERTIFICATE en los resultados de la auditoría para realizar este cambio.

    • Aplicar la acción de mitigación PUBLISH_FINDINGS_TO_SNS si desea implementar una respuesta personalizada en respuesta al mensaje de Amazon SNS.

    Para obtener más información, consulte Acciones de mitigación.

  2. Revise la actividad de registro de certificados de dispositivo realizada después de que se revocara el certificado de entidad de certificación y considere la posibilidad de revocar los certificados de dispositivo que se hayan podido emitir durante este período. (Utilice ListCertificatesByCA para obtener una lista de los certificados de dispositivos firmados con el certificado de entidad de certificación y UpdateCertificate para revocar un certificado de dispositivos).