研究人员发现物联网数字证书漏洞

2019年12月17日,国际网络安全媒体“Naked security”发布报告称物联网设备使用的弱数字证书可能使它们面临攻击。在线数字证书管理服务公司Keyfactor的安全团队研究了数百万张使用RSA算法生成的数字证书。他们发现,每172张证书中就有一张是可破解的,因为证书中随机数的产生是不安全的。 RSA的加密算法是现代非对称加密的基础,它使用一对密钥(公钥和私钥)加密信息并证明发送者的身份。公钥生成过程中涉及两个素数的乘法(称为因数),如果两个公钥共享一个公因数,那么通过计算它们结果的最大公约数,就可以很容易的得到这两个公钥的其他因数,使得破解RSA证书成为可能。避免该漏洞的最佳方法是确保用于创建公钥的数字尽可能随机,因此在密钥生成过程中需要大量的随机输入数据,以及将输入数据转换成密钥的计算能力。但由于物联网设备的设计限制,使得它们缺少上述两种能力。 Keyfactor公司挖掘了1.75亿个物联网设备密钥以识别随机数生成中的常见因数,发现每172个在线活动密钥中就有两个密钥彼此共享一个因数。研究人员表示,这些“共享因数”可以用来伪造证书,帮助攻击者伪装成带有证书认证的服务器与物理网设备进行连接,为破坏设备和窃取敏感信息提供了攻击入口。目前已发现超过435000个证书具有共享因数,这些证书对物联网安全构成了潜在威胁。