如何避免IoT安全实施中的陷阱

本文特别关注小型无线连接系统，这些系统通常由电池供电并运行轻量级，低带宽RF协议。

明文披露

明文泄露是指机密（如密钥或敏感数据）以“明文形式”或未加密的方式传递或存储。大多数传输漏洞适用于通过未加密通道传递的敏感用户数据（如登录凭据）。存储漏洞包括敏感的用户数据和密钥，这是一次性物联网设备需要特别关注的领域。我们大多数人在处理笔记本电脑或智能手机时都要小心谨慎，以确保敏感信息已被适当删除。当涉及到连接的灯泡时，您是否同样小心？“垃圾桶攻击”是指从丢弃的设备中提取敏感信息（如 Wi-Fi 凭据）。

中间人攻击

“中间人”（MITM）是一种攻击，攻击者秘密中继并可能改变认为自己直接相互通信的双方之间的通信。MITM 攻击的漏洞表示身份验证存在弱点。这种类型的漏洞利用通常在调试期间将新设备引入网络时执行。有多种方法可用于对设备进行身份验证，以允许其安全地加入网络。其中一些需要用户干预，例如输入 PIN 码 （BLE） 或扫描条形码 （Z-Wave）。其他情况可能会在没有用户干预的情况下发生，例如使用设备证书与证书颁发机构和/或云服务结合使用来提供身份验证。

MITM 最常见的实现问题是无法包含身份验证（例如，BLE 中的“Just Works”配对方法），或者未能使用受信任的第三方（如证书颁发机构 （CA））正确验证证书。

暴力攻击

“暴力”攻击试图利用加密系统实现中的弱点。如果正确实现，破解加密系统所需的工作量可以在理论上估计，并且很容易超过计算可能性。但是，实现中的弱点会大大减少整体解决方案空间，将不可能的事情变成可行甚至容易的事情。示例包括弱密码、加密函数使用不当、硬编码密钥和熵不足。

弱密码

由于计算能力的可及性越来越高，加上寻找加密弱点的进步，许多早期的加密系统已经过时了。例如，对具有 40 位密钥的密码的暴力攻击需要大约 1.1 万亿次测试。这听起来像是一个很大的数字，但当与当今显卡、FPGA或云服务的计算能力相结合时，它是不够的。

2017年，比利时KU鲁汶大学的研究人员能够破解DST40，这是早期特斯拉Model S密钥卡中使用的40位密码。“假冒密钥卡”攻击使用连接到Raspberry Pi的RF接收器来“嗅探”汽车的标识符RF信标，从汽车请求随机挑战短语，并计算并传输对挑战的正确响应，然后可用于解锁门或启动汽车，所有这些都在大约两秒钟内完成。系统使用包含所有可能的质询短语的 5.4 TB 数据结构来查找正确的响应。破解密码的蛮力工作，使用相同的Raspberry Pi需要777天，这是使用更强大的计算资源预先计算的。

这种攻击的对策是不选择弱密码，特别是如果这些密码已经被破解。上面的DST40密码最初是在2005年由约翰霍普金斯大学和RSA实验室的团队破解的，并在2005年的福特Escape SUV上以类似的方式进行了演示。其他已被证明较弱的流行密码包括 DES、3DES、RC2 和 RC4。对于 TLS 连接或协商密码或密码套件的任何连接，重要的是不允许弱协议（如 SSL）或弱密码套件。

加密功能的不当使用

高级加密标准 （AES） 是一种分组密码，它对固定大小为 128 位（16 字节）的数据元素进行操作。加密或解密长度超过 16 字节的数据流时，需要执行多个 AES 操作。独立处理每个块（称为“AES_ECB”或“电子代码簿”）可以揭示密文数据中的一些模式，这对于机密性来说是不希望的，因此建议使用NIST批准的链式密码模式，例如AES_CBC（“密码块链接”）或AES_CTR（“计数器”），或者更好的是，使用经过身份验证的加密模式，例如AES_CCM（“CBC-MAC计数器”）或AES_GCM（“伽罗瓦/计数器模式”）， 确保数据的机密性和真实性。

请注意，其中许多模式需要使用初始化向量 （IV），该向量的安全要求因所选的特定模式而异。保守的指导是使用强随机数，例如来自批准的加密随机数生成器，并且仅使用IV一次，使其成为“nonce”。IV最常见的错误是使用硬编码或常量IV。

硬编码键

“硬编码”密钥是指嵌入在源代码中的密钥。硬编码的密钥很糟糕，因为它们很难更改（需要重新编译源代码），并且它们是最容易窃取的密钥之一（通过逆向工程，读取源代码或其他方式）。理想情况下，密钥在需要时计算或以加密形式存储。NIST SP 800-57 建议根据密钥的使用方式定期更改密钥，通常每一到三年或更频繁地更改一次密钥。此外，系统还应支持一种机制，以便在密钥遭到破坏时吊销密钥。

熵不足

密码学依赖于具有高熵的随机数的来源。常见且看似无害的加密实现错误之一是选择错误的随机数源。当开发人员使用编译器本机“rand（）”函数而不是加密强伪随机数生成器 （PRNG） 或使用具有错误种子值的良好 PRNG（如常量或时间引用）时，会发生这种情况。

图 2 显示了使用“rand（）”生成的位图和使用 TRNG（真随机数生成器）生成的位图。请注意“兰特（）”图片中的摩尔纹状图案。模式不是随机的，这表明这对于熵源来说是一个糟糕的选择。

密码学的强度取决于随机数中的熵量。随机数源中的任何模式或偏差都会减少在暴力攻击期间测试所需的选项数。为了便于说明，我们假设嵌入式系统使用“自上次重置以来的系统时钟”作为其“rand（）”函数的种子，而“rand（）”函数用于在系统初始化期间生成密钥。由于MCU在很大程度上是确定性的，因此该系统将倾向于生成相同的密钥或一小组密钥之一。如果系统只生成八个唯一密钥，则密钥的长度是 128 位还是 256 位并不重要。该密钥的强度仅为三位，因为攻击者只需八次尝试即可确定密钥。此外，C标准规定“rand（）”的周期至少为232，这完全在暴力攻击范围内，这意味着如果攻击者能够辨别PRNG序列中的当前位置，则所有未来的数字都将是已知的。

幸运的是，许多MCU和无线SoC都配备了硬件TRNG外设，这些外设提供了极好的熵源。TRNG是从物理源（如热能）获取熵的外围设备。NIST 800-90A/B/C 和 AIS-31 规定了加密的合适要求。或者，如果加密 PRNG 定期播种 TRNG 源，则可以使用该加密 PRNG（例如CTR_DRBG）。

如果MCU没有TRNG外设，则可以使用另一个外设（例如无线RF接收器或ADC）作为熵源，但这种方法必须小心。具体来说，必须将源描述为熵源，以确定其数学属性是否足以满足 NIST 要求的加密。NIST标准还要求在原始熵源上添加运行状况检查，以确保其保持正确的功能，并添加条件函数（如SHA-256）以消除输出中的任何偏差。

审核编辑：郭婷