CWE-332: Insufficient Entropy in PRNG
CWE ID: 332
Name: Insufficient Entropy in PRNG
Beschreibung
Ein Mangel an verfügbarer oder verwendeter Entropie für einen Pseudo-Random Number Generator (PRNG) kann eine Stabilitäts- und Sicherheitsbedrohung darstellen.
Risikominderungsmaßnahmen
Maßnahme (Architecture and Design)
Effektivität: Unknown
Beschreibung: Verwenden Sie Produkte oder Module, die den Vorgaben von FIPS 140-2 [REF-267] entsprechen, um offensichtliche Entropieprobleme zu vermeiden. Konsultieren Sie den FIPS 140-2 Anhang C (“Approved Random Number Generators”).
Maßnahme (Implementation)
Effektivität: Unknown
Beschreibung: Berücksichtigen Sie einen PRNG, der sich bei Bedarf aus hochwertigem Pseudo-Random-Output, beispielsweise von Hardware-Devices, neu initialisiert (re-seeds).
Maßnahme (Architecture and Design)
Effektivität: Unknown
Beschreibung: Bei der Auswahl eines PRNG ist es entscheidend, dessen Quellen für Entropie zu prüfen. Je nach Ihren Sicherheitsanforderungen benötigen Sie möglicherweise einen Zufallszahlengenerator, der stets starke Zufallsdaten verwendet – also einen Generator, der versucht, robust zu sein, aber im Falle einer Schwäche auf eine schwache Art und Weise ausfällt, oder der durch Techniken wie Re-seeding stets einen gewissen Mittelweg des Schutzes bietet. Im Allgemeinen ist etwas, das stets eine vorhersagbare Stärke liefert, vorzuziehen.
Ist Ihre IT-Infrastruktur betroffen?
Schwachstellen wie CWE-332: Insufficient Entropy in PRNG können von Angreifern ausgenutzt werden. Unsere IT-Sicherheitsexperten in Salzburg helfen Ihnen, Verwundbarkeiten in Ihrer Infrastruktur zu identifizieren und zu beheben.
Schwachstellen-Scan anfragen Kostenlos beraten lassen