CWE ID: 343
Name: Predictable Value Range from Previous Values
Der Zufallszahlengenerator des Produkts erzeugt eine Zahlenreihe, deren Beobachtung Rückschlüsse auf eine relativ kleine Bandbreite möglicher Werte für die nächste generierten Zahl zulässt.
Die Ausgabe eines Random Number Generators sollte nicht auf Basis von Beobachtungen vorheriger Werte vorhersagbar sein. In manchen Fällen kann ein Angreifer zwar den exakten Wert, der als nächstes generiert wird, nicht vorhersagen, aber die Möglichkeiten erheblich reduzieren. Dies verringert den Aufwand für einen Brute Force Attack. Nehmen wir beispielsweise an, das Produkt generiert Random Numbers zwischen 1 und 100, aber es wird stets ein größerer Wert erzeugt, bis 100 erreicht ist. Wenn der Generator eine 80 produziert, weiß der Angreifer, dass der nächste Wert irgendwo zwischen 81 und 100 liegen muss. Anstatt 100 Möglichkeiten muss der Angreifer nur 20 berücksichtigen.
Effektivität: Unknown
Beschreibung: Erhöhen Sie die Entropie, die zur Seedung eines Pseudo-Random Number Generators (PRNG) verwendet wird.
Effektivität: Unknown
Beschreibung: Nutzen Sie Produkte oder Module, die den Vorgaben von FIPS 140-2 [REF-267] entsprechen, um offensichtliche Probleme mit der Entropie zu vermeiden. Konsultieren Sie hierzu den Anhang C (“Approved Random Number Generators”) von FIPS 140-2.
Effektivität: Unknown
Beschreibung: Verwenden Sie einen PRNG, der sich periodisch mit Input aus hochwertigen Quellen neu initialisiert, beispielsweise von Hardware-Geräten mit hoher Entropie. Achten Sie jedoch darauf, die Re-Seeding-Frequenz nicht zu hoch zu wählen, da die Entropiequelle andernfalls blockieren könnte.
