Att uppkopplade enheter kommunicerar över krypterade förbindelser är naturligtvis ett stort steg framåt jämfört med den myriad av iot-enheter som kommunicerar helt öppet. Men en ny undersökning visar att även den krypterade kommunikationen kan avlyssnas på grund av att de krypteringsnycklar som genereras på enheterna har svag entropi, alltså för många gemensamma faktorer, skriver The Register.

Relativt enkelt att gissa sig fram till nycklarna

Säkerhetsanalytikerna Jonathan Kilgallin och Ross Vasko som arbetar på företaget Keyfactor, som för tydlighets skull säljer lösningar för att säkra iot-enheter, har analyserat certifikat från iot-enheter som de samlat in på det öppna nätet. Analytikerna analyserade 75 miljoner certifikat och kom fram till att antalet gemensamma faktorer som används vid generering av krypteringsnycklar är mycket större än det borde vara, vilket gör det relativt enkelt för angripare att gissa sig fram till nycklarna.

Av de 75 miljoner certifikat som analyserades använde cirka 435 000 gemensamma faktorer, vilket är 1 på 172. Som jämförelse analyserades 100 miljoner certifikat från Certificate Transparency som genererats på vanliga datorer och hittade endast fem certifikat med gemensamma faktorer, alltså en på 20 miljoner.

Hårdvaran är för klen

Den slutsats analytikerna drar är att hårdvaran på iot-enheterna är för klen för att kunna generera nycklar med tillräcklig hög entropi, vilket också innebär att det är svårt att göra någonting åt saken för redan levererade enheter. Men tillverkarna borde se över tekniken som genererar krypteringsnycklar för framtida iot-enheter.

Analytikerna använde en modest virtuell server på Microsoft Azure för att jämföra och extrahera nycklarna. Även med en sådan relativt enkelt ”hårdvara” och välkända algoritmer kunde analytikerna knäcka nycklar på bara några dagar.

Läs också:
FBI: skapa separat nätverk för uppkopplade saker
Nu ska Microsoft göra uppkopplade prylar mer tillgängliga för massorna