chinese直男口爆体育生外卖, 99久久er热在这里只有精品99, 又色又爽又黄18禁美女裸身无遮挡, gogogo高清免费观看日本电视,私密按摩师高清版在线,人妻视频毛茸茸,91论坛 兴趣闲谈,欧美 亚洲 精品 8区,国产精品久久久久精品免费

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評(píng)論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫(xiě)文章/發(fā)帖/加入社區(qū)
會(huì)員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

物聯(lián)網(wǎng)安全實(shí)施中的常見(jiàn)陷阱以及如何避免它們

星星科技指導(dǎo)員 ? 來(lái)源:嵌入式計(jì)算設(shè)計(jì) ? 作者:Brent Wilson ? 2022-06-08 09:25 ? 次閱讀
加入交流群
微信小助手二維碼

掃碼添加小助手

加入工程師交流群

本文特別關(guān)注通常由電池供電并運(yùn)行輕量級(jí)、低帶寬射頻協(xié)議的小型無(wú)線連接系統(tǒng)。

明文披露

明文披露是指以“明文”或未加密的方式交付或存儲(chǔ)的秘密,例如密鑰或敏感數(shù)據(jù)。大多數(shù)傳輸漏洞適用于通過(guò)未加密通道傳遞的敏感用戶數(shù)據(jù),例如登錄憑據(jù)。存儲(chǔ)漏洞包括敏感的用戶數(shù)據(jù)和密鑰,這是一次性物聯(lián)網(wǎng)設(shè)備需要特別關(guān)注的領(lǐng)域。我們大多數(shù)人在處理筆記本電腦智能手機(jī)時(shí)都會(huì)小心謹(jǐn)慎,以確保敏感信息已被適當(dāng)刪除。在連接燈泡時(shí),您是否同樣小心?“垃圾箱攻擊”是指從廢棄設(shè)備中提取敏感信息(例如 Wi-Fi 憑據(jù))。

中間人攻擊

“中間人” (MITM) 是一種攻擊,攻擊者在其中秘密中繼并可能改變認(rèn)為他們直接相互通信的兩方之間的通信。MITM 攻擊的漏洞表明身份驗(yàn)證存在弱點(diǎn)。在將新設(shè)備引入網(wǎng)絡(luò)時(shí),通常會(huì)在調(diào)試期間執(zhí)行這種類型的漏洞利用。有多種方法可用于驗(yàn)證設(shè)備以使其安全地加入網(wǎng)絡(luò)。其中一些需要用戶干預(yù),例如輸入 PIN 碼 (BLE) 或掃描條形碼 (Z-Wave)。其他的可以在沒(méi)有用戶干預(yù)的情況下發(fā)生,例如使用設(shè)備證書(shū)與證書(shū)頒發(fā)機(jī)構(gòu)和/或云服務(wù)相結(jié)合來(lái)提供身份驗(yàn)證。

MITM 最常見(jiàn)的實(shí)施問(wèn)題要么是未能包含身份驗(yàn)證(例如,BLE 中的“Just Works”配對(duì)方法),要么是未能使用受信任的第三方(例如證書(shū)頒發(fā)機(jī)構(gòu) (CA))正確驗(yàn)證證書(shū)。

蠻力攻擊

“蠻力”攻擊試圖利用密碼系統(tǒng)實(shí)施中的弱點(diǎn)。如果實(shí)施得當(dāng),破解密碼系統(tǒng)所需的努力可以在理論上進(jìn)行估計(jì),并且很容易超過(guò)計(jì)算的可能性。但是,實(shí)施中的弱點(diǎn)會(huì)大大減少整體解決方案的空間,將不可能的事情變成可行甚至容易的事情。示例包括弱密碼、加密功能的不當(dāng)使用、硬編碼密鑰和熵不足。

弱密碼

由于計(jì)算能力的提高以及發(fā)現(xiàn)加密弱點(diǎn)的進(jìn)步,許多早期的密碼系統(tǒng)已經(jīng)過(guò)時(shí)。例如,使用 40 位密鑰對(duì)密碼進(jìn)行暴力攻擊需要約 1.1 萬(wàn)億次測(cè)試。這聽(tīng)起來(lái)可能是一個(gè)很高的數(shù)字,但如果再加上當(dāng)今顯卡、FPGA 或云服務(wù)的計(jì)算能力,就顯得不夠了。

2017 年,比利時(shí)魯汶大學(xué)的研究人員成功破解了 DST40,這是早期特斯拉 Model S 密鑰卡中使用的 40 位密碼?!凹倜?fob”攻擊使用連接到 Raspberry Pi 的 RF 接收器“嗅探”汽車的標(biāo)識(shí)符 RF 信標(biāo),從汽車請(qǐng)求隨機(jī)挑戰(zhàn)短語(yǔ),計(jì)算并傳輸對(duì)挑戰(zhàn)的正確響應(yīng),然后可以使用解鎖車門(mén)或啟動(dòng)汽車,只需大約兩秒鐘。該系統(tǒng)使用包含所有可能的挑戰(zhàn)短語(yǔ)的 5.4 TB 數(shù)據(jù)結(jié)構(gòu)來(lái)查找正確的響應(yīng)。破解密碼的蠻力工作,使用相同的 Raspberry Pi 需要 777 天,之前使用更強(qiáng)大的計(jì)算資源預(yù)先計(jì)算。

這種攻擊的對(duì)策是不選擇弱密碼,特別是如果那些密碼已經(jīng)被破解。上面的 DST40 密碼最初在 2005 年被約翰霍普金斯大學(xué)和 RSA 實(shí)驗(yàn)室的一個(gè)團(tuán)隊(duì)破解,并在 2005 年的福特 Escape SUV 上以類似的方式進(jìn)行了演示。其他已被證明較弱的流行密碼包括 DES、3DES、RC2 和 RC4。在 TLS 連接或協(xié)商密碼或密碼套件的任何連接的情況下,不允許使用弱協(xié)議(例如 SSL)或弱密碼套件非常重要。

密碼學(xué)功能的不當(dāng)使用

高級(jí)加密標(biāo)準(zhǔn) (AES) 是一種分組密碼,它對(duì)固定大小為 128 位(16 字節(jié))的數(shù)據(jù)元素進(jìn)行操作。在對(duì)長(zhǎng)度超過(guò) 16 字節(jié)的數(shù)據(jù)流進(jìn)行加密或解密時(shí),需要進(jìn)行多次 AES 操作。獨(dú)立處理每個(gè)塊(稱為“AES_ECB”或“電子密碼本”)可以揭示密文數(shù)據(jù)中的某些模式,這對(duì)于機(jī)密性來(lái)說(shuō)是不可取的,因此建議使用 NIST 批準(zhǔn)的鏈?zhǔn)矫艽a模式,例如 AES_CBC(“Cipher Block Chaining”)或 AES_CTR(“計(jì)數(shù)器”),或者更好的是,使用經(jīng)過(guò)身份驗(yàn)證的加密模式,例如 AES_CCM(“帶有 CBC-MAC 的計(jì)數(shù)器”)或 AES_GCM(“Galois/計(jì)數(shù)器模式”),這可以確保機(jī)密性和真實(shí)性的數(shù)據(jù)。

請(qǐng)注意,其中許多模式都需要使用初始化向量 (IV),其安全要求取決于所選的特定模式。保守的指導(dǎo)是使用強(qiáng)隨機(jī)數(shù),例如來(lái)自經(jīng)批準(zhǔn)的密碼隨機(jī)數(shù)生成器,并且只使用一次 IV,使其成為“隨機(jī)數(shù)”。IV 最常見(jiàn)的錯(cuò)誤是使用硬編碼或常量 IV。

硬編碼鍵

“硬編碼”密鑰是指嵌入在源代碼中的密鑰。硬編碼密鑰不好,因?yàn)樗鼈冸y以更改(需要重新編譯源代碼),并且它們是最容易竊取的密鑰之一(通過(guò)逆向工程、閱讀源代碼或其他方式)。理想情況下,密鑰在需要時(shí)計(jì)算或以加密形式存儲(chǔ)。NIST SP 800-57 建議根據(jù)密鑰的使用方式定期更改密鑰,通常每 1 到 3 年或更頻繁。此外,系統(tǒng)還應(yīng)該支持一種機(jī)制,用于在密鑰被泄露的情況下撤銷密鑰。

熵不足

密碼學(xué)依賴于具有高熵的隨機(jī)數(shù)源。一個(gè)常見(jiàn)且看似無(wú)害的密碼學(xué)實(shí)現(xiàn)錯(cuò)誤之一是選擇了錯(cuò)誤的隨機(jī)數(shù)源。當(dāng)開(kāi)發(fā)人員使用編譯器原生的“rand()”函數(shù)而不是加密的強(qiáng)偽隨機(jī)數(shù)生成器 (PRNG) 或者他們使用具有錯(cuò)誤種子值(例如常量或時(shí)間參考)的良好 PRNG 時(shí),就會(huì)發(fā)生這種情況。

圖 2 顯示了使用“rand()”生成的位圖和使用 TRNG(真隨機(jī)數(shù)生成器)生成的位圖。請(qǐng)注意“rand()”圖片中的莫爾狀圖案。模式不是隨機(jī)的,這表明這是熵源的錯(cuò)誤選擇。

密碼學(xué)的強(qiáng)度取決于隨機(jī)數(shù)中的熵量。隨機(jī)數(shù)源中的任何模式或偏差都會(huì)減少暴力攻擊期間測(cè)試所需的選項(xiàng)數(shù)量。為了說(shuō)明,我們假設(shè)嵌入式系統(tǒng)使用“自上次復(fù)位后的系統(tǒng)時(shí)鐘”作為其“rand()”函數(shù)的種子,而“rand()”函數(shù)用于在系統(tǒng)初始化期間生成密鑰。由于 MCU 在很大程度上是確定性的,因此該系統(tǒng)將傾向于生成相同的密鑰或一小組密鑰中的一個(gè)。如果系統(tǒng)只生成八個(gè)唯一密鑰,那么密鑰是 128 位還是 256 位長(zhǎng)都沒(méi)有關(guān)系。該密鑰的強(qiáng)度只有三位,因?yàn)楣粽咧恍璋舜螄L試即可確定密鑰。此外,C 標(biāo)準(zhǔn)規(guī)定“rand()”的周期至少為 232,這在蠻力攻擊范圍內(nèi),這意味著如果攻擊者能夠辨別 PRNG 序列中的當(dāng)前位置,所有未來(lái)的數(shù)字都將是已知的。

幸運(yùn)的是,許多 MCU 和無(wú)線 SoC 都配備了硬件 TRNG 外設(shè),它們提供了極好的熵源。TRNG 是從物理源(例如熱能)中獲取熵的外圍設(shè)備。NIST 800-90A/B/C 和 AIS-31 規(guī)定了密碼學(xué)的合適要求。或者,如果使用 TRNG 源定期播種,則可以使用加密 PRNG(例如 CTR_DRBG)。

如果 MCU 沒(méi)有 TRNG 外設(shè),則可以使用其他外設(shè)(例如無(wú)線 RF 接收器或 ADC)作為熵源,但必須小心使用這種方法。具體來(lái)說(shuō),必須將源表征為熵源,以確定其數(shù)學(xué)屬性是否足以滿足 NIST 要求的密碼學(xué)要求。NIST 標(biāo)準(zhǔn)還要求對(duì)原始熵源添加健康檢查,以確保其保持適當(dāng)?shù)墓δ埽⑻砑诱{(diào)節(jié)功能(例如 SHA-256)以消除輸出中的任何偏差。

審核編輯:郭婷

聲明:本文內(nèi)容及配圖由入駐作者撰寫(xiě)或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問(wèn)題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
  • mcu
    mcu
    +關(guān)注

    關(guān)注

    147

    文章

    18411

    瀏覽量

    380182
  • 接收器
    +關(guān)注

    關(guān)注

    15

    文章

    2598

    瀏覽量

    75711
  • soc
    soc
    +關(guān)注

    關(guān)注

    38

    文章

    4481

    瀏覽量

    226691
收藏 人收藏
加入交流群
微信小助手二維碼

掃碼添加小助手

加入工程師交流群

    評(píng)論

    相關(guān)推薦
    熱點(diǎn)推薦

    學(xué)習(xí)聯(lián)網(wǎng)可以做什么工作?

    嵌入式軟件和硬件,支持聯(lián)網(wǎng)設(shè)備的功能實(shí)現(xiàn)。   數(shù)據(jù)分析師:負(fù)責(zé)從聯(lián)網(wǎng)設(shè)備和傳感器獲取和分析數(shù)據(jù),并提供數(shù)據(jù)支持和決策。   
    發(fā)表于 10-11 16:40

    常見(jiàn)聯(lián)網(wǎng)連接方式有哪些?

    常見(jiàn)聯(lián)網(wǎng)連接方式
    發(fā)表于 09-08 08:26

    電商API常見(jiàn)錯(cuò)誤排查指南:避免集成陷阱

    ,幫助您高效避免集成陷阱。內(nèi)容基于真實(shí)電商API實(shí)踐,確??煽啃院蛯?shí)用性。 一、常見(jiàn)錯(cuò)誤類型 電商API集成,錯(cuò)誤往往源于認(rèn)證、數(shù)據(jù)、限流等環(huán)節(jié)。以下是高頻問(wèn)題: 認(rèn)證失敗錯(cuò)誤 當(dāng)A
    的頭像 發(fā)表于 07-11 14:21 ?1512次閱讀
    電商API<b class='flag-5'>常見(jiàn)</b>錯(cuò)誤排查指南:<b class='flag-5'>避免</b>集成<b class='flag-5'>陷阱</b>

    聯(lián)網(wǎng)藍(lán)牙模塊有哪些優(yōu)勢(shì)?

    之間的互聯(lián)互通。這使得在聯(lián)網(wǎng)應(yīng)用,多個(gè)設(shè)備可以協(xié)同工作,從而提高了系統(tǒng)的整體效率??傊?,聯(lián)網(wǎng)藍(lán)牙模塊具有低功耗、傳輸距離遠(yuǎn)、
    發(fā)表于 06-28 21:49

    聯(lián)網(wǎng)的應(yīng)用范圍有哪些?

    在生活的一個(gè)小小體現(xiàn)。 從技術(shù)層面看,聯(lián)網(wǎng)融合了多種技術(shù),包括傳感器技術(shù)、網(wǎng)絡(luò)通信技術(shù)、大數(shù)據(jù)與云計(jì)算技術(shù)等。傳感器負(fù)責(zé)采集各種物理量、化學(xué)量等信息,如溫度傳感器感知環(huán)境溫度,壓力傳感器檢測(cè)物體受力
    發(fā)表于 06-16 16:01

    工業(yè)聯(lián)網(wǎng)常見(jiàn)的協(xié)議有哪些

    工業(yè)聯(lián)網(wǎng)常見(jiàn)的協(xié)議有哪些
    的頭像 發(fā)表于 06-14 15:52 ?877次閱讀

    聯(lián)網(wǎng)未來(lái)發(fā)展趨勢(shì)如何?

    技術(shù)將為人們帶來(lái)更加安全、便捷和舒適的居住環(huán)境。 工業(yè)互聯(lián)網(wǎng):工業(yè)互聯(lián)網(wǎng)聯(lián)網(wǎng)行業(yè)的熱門(mén)領(lǐng)
    發(fā)表于 06-09 15:25

    聯(lián)網(wǎng)工程師為什么要學(xué)Linux?

    Linux生態(tài)已集成MQTT、TCP/IP、ZigBee等聯(lián)網(wǎng)常用協(xié)議棧,開(kāi)發(fā)者可直接調(diào)用或移植,避免從零實(shí)現(xiàn)協(xié)議的復(fù)雜性。此外,龐大的開(kāi)源社區(qū)(如Contiki、RT-Thr
    發(fā)表于 05-26 10:32

    為什么選擇蜂窩聯(lián)網(wǎng)

    。雖然需要支付訂閱費(fèi)用,但卻能保證廣泛的覆蓋范圍、可擴(kuò)展性、內(nèi)置服務(wù)質(zhì)量、可靠性和無(wú)懈可擊的安全性。這樣,您就可以專注于特定聯(lián)網(wǎng)產(chǎn)品的開(kāi)發(fā),而無(wú)需部署和維護(hù)與在非授權(quán)頻段運(yùn)行的其他 LPWAN 技術(shù)相關(guān)
    發(fā)表于 03-17 11:42

    如何避免直流負(fù)載箱的常見(jiàn)操作誤區(qū)?

    ,可以有效避免直流負(fù)載箱的常見(jiàn)操作誤區(qū),確保設(shè)備的安全穩(wěn)定運(yùn)行,延長(zhǎng)其使用壽命,同時(shí)也能保障操作人員的人身安全。
    發(fā)表于 02-13 13:49

    聯(lián)網(wǎng)就業(yè)有哪些高薪崗位?

    系統(tǒng)的數(shù)據(jù)安全和隱私保護(hù),這一崗位的需求也在逐年上升。  隨著聯(lián)網(wǎng)行業(yè)的蓬勃發(fā)展,這些高薪崗位將持續(xù)吸引著大量求職者。然而,高薪并不是唾手可得的,對(duì)于求職者而言,還需要具備扎實(shí)的技術(shù)功底、豐富的實(shí)踐經(jīng)驗(yàn)和持續(xù)學(xué)習(xí)的精神。只有
    發(fā)表于 01-10 16:47

    aes技術(shù)在聯(lián)網(wǎng)的應(yīng)用前景

    問(wèn)題也日益凸顯。高級(jí)加密標(biāo)準(zhǔn)(AES)作為一種廣泛使用的對(duì)稱加密算法,因其高效性和安全性,在聯(lián)網(wǎng)扮演著越來(lái)越重要的角色。 1.
    的頭像 發(fā)表于 11-14 15:15 ?1292次閱讀

    聯(lián)網(wǎng)學(xué)習(xí)路線來(lái)啦!

    和組合邏輯電路、觸發(fā)器及時(shí)序邏輯電路。 EDA軟件應(yīng)用基礎(chǔ):掌握電路設(shè)計(jì)EDA軟件的基本用法,了解硬件PCBA設(shè)計(jì)基本流程。 常見(jiàn)傳感器電路:聯(lián)網(wǎng)的底層依賴各種傳感器,對(duì)常見(jiàn)的傳感器
    發(fā)表于 11-11 16:03

    藍(lán)牙AES+RNG如何保障聯(lián)網(wǎng)信息安全

    指定地點(diǎn),對(duì)魚(yú)缸所在企業(yè)造成較大經(jīng)濟(jì)損失以及其他損失。因此物聯(lián)網(wǎng)數(shù)據(jù)安全尤為重要。藍(lán)牙通信協(xié)議常作為聯(lián)網(wǎng)通信協(xié)議,應(yīng)用到各大
    發(fā)表于 11-08 15:38

    聯(lián)網(wǎng)系統(tǒng)的安全漏洞分析

    設(shè)備制造商的安全意識(shí)不足 許多聯(lián)網(wǎng)設(shè)備制造商在設(shè)計(jì)和生產(chǎn)過(guò)程,往往忽視了安全問(wèn)題,導(dǎo)致設(shè)備存在先天性的
    的頭像 發(fā)表于 10-29 13:37 ?1536次閱讀