• CWE-332: Insufficient Entropy in PRNG

Ein Mangel an verfügbarer oder verwendeter Entropie für einen Pseudo-Random Number Generator (PRNG) kann eine Stabilitäts- und Sicherheitsbedrohung darstellen.

CWE-332: Insufficient Entropy in PRNG

CWE ID: 332
Name: Insufficient Entropy in PRNG

Beschreibung

Ein Mangel an verfügbarer oder verwendeter Entropie für einen Pseudo-Random Number Generator (PRNG) kann eine Stabilitäts- und Sicherheitsbedrohung darstellen.

Risikominderungsmaßnahmen

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Verwenden Sie Produkte oder Module, die den Vorgaben von FIPS 140-2 [REF-267] entsprechen, um offensichtliche Entropieprobleme zu vermeiden. Konsultieren Sie den FIPS 140-2 Anhang C (“Approved Random Number Generators”).

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Berücksichtigen Sie einen PRNG, der sich bei Bedarf aus hochwertigem Pseudo-Random-Output, beispielsweise von Hardware-Devices, neu initialisiert (re-seeds).

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Bei der Auswahl eines PRNG ist es entscheidend, dessen Quellen für Entropie zu prüfen. Je nach Ihren Sicherheitsanforderungen benötigen Sie möglicherweise einen Zufallszahlengenerator, der stets starke Zufallsdaten verwendet – also einen Generator, der versucht, robust zu sein, aber im Falle einer Schwäche auf eine schwache Art und Weise ausfällt, oder der durch Techniken wie Re-seeding stets einen gewissen Mittelweg des Schutzes bietet. Im Allgemeinen ist etwas, das stets eine vorhersagbare Stärke liefert, vorzuziehen.