• CWE-337: Predictable Seed in Pseudo-Random Number Generator (PRNG)

Ein Pseudo-Random Number Generator (PRNG) wird aus einem vorhersagbaren Seed initialisiert, beispielsweise der Prozess-ID oder der Systemzeit.

CWE-337: Predictable Seed in Pseudo-Random Number Generator (PRNG)

CWE ID: 337
Name: Predictable Seed in Pseudo-Random Number Generator (PRNG)

Beschreibung

Ein Pseudo-Random Number Generator (PRNG) wird aus einem vorhersagbaren Seed initialisiert, beispielsweise der Prozess-ID oder der Systemzeit.

Erweiterte Beschreibung

Die Verwendung von vorhersagbaren Seeds reduziert signifikant die Anzahl der möglichen Seeds, die ein Angreifer testen müsste, um vorherzusagen, welche Zufallszahlen vom PRNG generiert werden.

Risikominderungsmaßnahmen

Maßnahme (Unknown)

Effektivität: Unknown
Beschreibung: Verwenden Sie nicht-vorhersagbare Inputs für die Seed-Generierung.

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Nutzen Sie Produkte oder Module, die den Spezifikationen von FIPS 140-2 [REF-267] entsprechen, um offensichtliche Probleme mit der Entropie zu vermeiden, oder verwenden Sie, wenn möglich, die aktuellere Version FIPS 140-3 [REF-1192].

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Verwenden Sie einen PRNG, der sich periodisch mit Input aus hochwertigen Quellen neu initialisiert (re-seeds), beispielsweise von Hardware-Geräten mit hoher Entropie. Achten Sie jedoch darauf, die Neuinitialisierung nicht zu häufig durchzuführen, da die Entropiequelle andernfalls blockieren könnte.