随机数生成器的一个关键缺陷将数十亿低成本物联网设备的安全置于风险之中。这意味着需要一种产生随机数的新方法,这种方法可以从SRAM行为中提取熵。这只需要安装软件,这意味着数十亿设备的安全系统可以在不需要更改硬件的情况下进行修补,即使是在已经部署的设备上。
每天都有关于物联网设备受到攻击的新闻。物联网中连接的设备数量正在迅速增加,而针对这些设备的攻击数量正以更爆炸性的速度增长。
在2021年上半年,仅在6个月内,针对物联网设备的攻击次数就增加了一倍多,达到15亿次。有些是高调的攻击,获得了媒体的大量关注,如Colonial Pipeline黑客攻击或新的僵尸网络攻击的精神的Mirai。但也有无数针对非常私人的设备的攻击,比如婴儿监视器,甚至心脏设备。
物联网设备有一些典型的弱点,这些弱点经常被利用。在这些攻击中,诸如弱密码、缺乏定期补丁和更新、不安全的接口以及数据保护不足等例子都很常见。然而,Bishop Fox的研究人员最近发现了物联网设备的一个新的关键漏洞,这可能对我们许多人来说并不明显。他们最近的研究表明,数十亿物联网设备中使用的硬件随机数生成器(rng)无法提供足够的熵。
使用随机数生成器
保护物联网设备及其通信和数据需要在这些典型的低成本设备上实现加密系统。RNG是这些系统的一个重要组成部分。随机数很重要,因为对于大多数密码协议来说,它们提供了抵御潜在攻击者所需的不可预测性。例如,加密密钥是由随机数创建的,从而使攻击者无法猜测这些密钥并破坏加密。
在设备上创建随机数有两种主要方法。在第一种方法中,随机数是由设备上的一个真正随机的物理源生成的,它提供了足够的随机性来为需要在设备上运行的所有加密协议提供服务。
