CWE ID: 341
Name: Predictable from Observable State
Eine Zahl oder ein Objekt ist vorhersehbar aufgrund von Beobachtungen, die ein Angreifer über den Zustand des Systems oder Netzwerks treffen kann, wie beispielsweise Zeit, Process ID usw.
Effektivität: Unknown
Beschreibung: Erhöhen Sie die Entropie, die zur Initialisierung eines PRNG (Pseudo-Random Number Generator) verwendet wird.
Effektivität: Unknown
Beschreibung: Nutzen Sie Produkte oder Module, die den Vorgaben von FIPS 140-2 [REF-267] entsprechen, um offensichtliche Probleme mit der Entropie zu vermeiden. Konsultieren Sie hierzu den Anhang C (“Approved Random Number Generators”) von FIPS 140-2.
Effektivität: Unknown
Beschreibung: Verwenden Sie einen PRNG, der sich periodisch mit Input aus hochwertigen Quellen neu initialisiert, beispielsweise von Hardware-Geräten mit hoher Entropie. Achten Sie jedoch darauf, die Neuinitialisierung nicht zu häufig durchzuführen, da die Entropiequelle andernfalls blockieren könnte.
