私人加密密钥分享令人担忧但不是新的，说安全专家

重复使用私有加密密钥令人担忧，但根据安全专家的响应关于安全公司SEC咨询的最新报告并非新的报告。

一项研究已经揭示了大约450万互联网连接的设备继续分享已知的私钥以加密他们的通信。

一个证书是共享但500,000个设备，而另一个证书由280,000个连接到Internet的设备共享。

根据最新研究，与2015年证券交易所咨询硬编码加密秘密的研究结果相比，过去一年的设备数量上涨了40％。

尽管该公司努力为使用HTTPS服务器证书的已知的私钥通知50种不同的供应商和各种互联网服务提供商（ISP）关于Web上的设备。

该报告引用了供应商无法提供安全漏洞的补丁，包括 - 但不限于 - 遗留或生活最终产品是最有可能的原因。

但是，即使在SEC咨询时，即使在可用补丁时，嵌入式系统很少修补。

该公司还通过用户和ISP，在ISP提供的客户房屋设备（CPE）的情况下，该公司在广域网（WAN）方面的防火设备不足，以及支持物联网产品的趋势，作为其他可能的贡献因素。

本着开放研究的精神，安全公司已发布GitHub上的原始数据，其中包括331个证书，包括匹配的私钥以及553个私人钥匙。

数据还包括包含在Internet范围扫描数据中找不到的证书/键和加密密钥的产品名称。

SEC咨询说，这些数据允许研究人员重现我们的研究结果，找到更多的案例或加密密钥重用，属性加密密钥，以及开发用于检测和利用此漏洞类别的工具，SEC咨询说。

该公司承认释放私钥允许攻击者以大规模剥削这种漏洞，但是说任何确定的攻击者都会重复该研究并轻松地从公开的固件中获取私钥。

SEC Consisce致电供应商，以确保每个设备使用可以在工厂或第一个启动中计算的随机，独特的加密密钥。

在CPE设备的情况下，ISP和供应商都必须共同努力，为受影响设备提供固定的固件。

ISP还必须确保通过WAN端口到CPE的远程访问。如果ISP需要访问远程支持目的，建议使用没有CPE到CPE通信的专用管理VLAN。

用户应该将SSH主键和x.509证书更改为特定于设备的证书，SEC咨询说，添加此并不总是可能，因为某些产品不允许更改此配置，或者用户没有权限执行此操作。

但美国证券交易委员会咨询说，一些所需的技术步骤不是一个可以预期的普通家庭用户的东西。

虽然重新使用关键网络安全设备中的私钥不是新的，但结果令人不安，特别是鉴于许多受影响的设备在关键基础设施和电信系统中使用的事实，凯文·博克斯（Kevin Boce）是安全的副主席Venafi的战略与威胁情报。

“我们分享SEC Comparation的挫败感。使用加密旨在唯一地验证应用程序并保护隐私，因此将设备与重复使用数十万次的钥匙和证书才能疯狂，“他说。

Bocek补充说，这一实践不仅仅是留下门口上的关键，并将广告牌推出广告漏洞。

“传统安全 - 入侵检测系统，防火墙和防病毒 - 当攻击者在加密的流量中查看时，无助于您的加密流量，或伪装为您的可信应用程序或设备之一。糟糕的家伙可以从字面上采取他们想要的任何数据，“他说。

根据Bocek的说法，问题只是在每天增加数百万更多的设备时会变得更糟。

“Devops驾驶开发人员越快，技能保护钥匙和证书在供不应求。看到问题变得更糟，这并不奇怪。他说，事物开发或部署的设备互联网设备在沃博组织的许多情况下乘以问题，“他说。

Venafi认为公司需要收回控制并立即采取行动来保护自己。

通过识别网络上使用的所有键和证书，横跨云端，并向互联网出来，Bocek表示，组织可以识别可能的失败，如威胁要粉碎安全基础的猖獗的关键重用。

“一旦确定了关键重用，组织就可以尝试：用新的唯一键和证书替换，可以是或隔离那些不能和与供应商解决的人分区，”他说。