Taggat med: DNP3 Secure Authentication

Kryptering och Internet of Things – Ny sårbarhet uppdagad

 

Internet of Things säkerhet

Ett antal forskare undersökte de kryptografiska funktionerna i protokollet Open Smart Grid Protocol (OSGP) som är väl använt inom IoT (Internet of Things). Nu har dock allvarliga brister uppdagats i detta protokoll som är baserat på RC4(!) samt en egen MAC (OMA digest).

OSGP-protokollet är en standard enligt Telecommunications Standards Institute (ETSI) sedan 2012 och har utvecklats av Energy Service Network Association (ESNA). Ungefär fyra miljoner IoT-enheter använder OSGP-protokollet.

Några av de angreppsmetoder som används är:IoT Crypto

  • Chosen-Plaintext Key Recovery Attacks
  • Known-Plaintext Key Recovery Attack
  • Forgeries and a Third Key-Recovery Attack

Även så tog forskarna fram Proof-of-concept kod i Python för att demonstrera några av sårbarheterna.

Och för att citera Bruce Schneier:

Anyone can design a cipher that he himself cannot break. This is why you should uniformly distrust amateur cryptography, and why you should only use published algorithms that have withstood broad cryptanalysis. All cryptographers know this, but non-cryptographers do not.

DNP3 Secure Authentication som också är ett protokoll som används inom IoT använder sig av HMAC-SHA256 samt AES-GMAC vilket anses säkert.

Så vad har vi lärt oss? Försök inte att utveckla ett eget krypto.