# 裝置憑證金鑰品質
<a name="audit-chk-device-cert-key-quality"></a>

AWS IoT 客戶通常會依賴使用 X.509 憑證的 TLS 交互身分驗證來對 AWS IoT 訊息代理程式進行驗證。這些憑證及其憑證授權單位憑證必須在其 AWS IoT 帳戶中註冊，然後才能使用它們。在註冊這些憑證時，AWS IoT 會對這些憑證執行基本的例行性檢查。這些檢查包括：
+ 它們必須是有效的格式。
+ 它們必須由註冊的憑證授權單位簽署。
+ 它們必須仍然在其有效期間內 (換言之，它們沒有過期)。
+ 其加密金鑰大小必須符合所需大小下限 (若為 RSA 金鑰，必須是 2048 位元或更大)。

此稽核檢查會提供下列額外測試，來測試您的加密金鑰品質：
+ CVE-2008-0166 - 檢查是否已在 Debian 型作業系統上使用 OpenSSL 0.9.8c-1 以上但不超過 0.9.8g-9 的版本產生金鑰。這些版本的 OpenSSL 使用隨機數字產生器，產生可預測的數字，使遠端攻擊者更容易對加密金鑰進行暴力猜測攻擊。
+ CVE-2017-15361 - 檢查是否已使用 Infineon 信賴平台模組 (TPM) 韌體中的 Infineon RAS 程式庫 1.02.013 產生金鑰，例如 0000000000000422 - 4.34 之前的版本、000000000000062b - 6.43 之前的版本，以及 0000000000008521 - 133.33 之前的版本。該程式庫不當處理 RSA 金鑰產生，使攻擊者更容易透過目標攻擊打敗一些加密保護機制。受影響的技術範例包括搭配 TPM 1.2 的 BitLocker、YubiKey 4 (4.3.5 之前) PGP 金鑰產生，以及 Chrome 作業系統中的快取使用者資料加密功能。

AWS IoT Device Defender如果憑證無法通過測試，則 會將這些憑證報告為不合規。

此檢查會以 `DEVICE_CERTIFICATE_KEY_QUALITY_CHECK` 出現在 CLI 和 API 中。

嚴重性：**關鍵**

## 詳細資訊
<a name="audit-chk-device-cert-key-quality-details"></a>

此檢查適用於 ACTIVE 或 PENDING\$1TRANSFER 的裝置憑證。

當此檢查發現不合規的憑證時，將會傳回下列原因代碼：
+ CERTIFICATE\$1KEY\$1VULNERABILITY\$1CVE-2017-15361
+ CERTIFICATE\$1KEY\$1VULNERABILITY\$1CVE-2008-0166

## 為什麼它很重要
<a name="audit-chk-device-cert-key-quality-why-it-matters"></a>

當裝置使用易受攻擊的憑證時，攻擊者可以更容易地危害該裝置。

## 如何修正它
<a name="audit-chk-device-cert-key-quality-how-to-fix"></a>

更新您的裝置憑證，以取代具有已知弱點的憑證。

如果您使用相同的憑證在多個裝置上，您可能需要：

1. 佈建新的、唯一的憑證，並將它們連接到每個裝置。

1. 確認新憑證有效且裝置可使用這些憑證進行連線。

1. 使用 [UpdateCertificate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateCertificate.html)，在 AWS IoT 中將舊憑證標示為 REVOKED。您也可以使用緩解行動：
   + 套用 `UPDATE_DEVICE_CERTIFICATE` 緩解行動到稽核結果來產生此變更。
   + 套用 `ADD_THINGS_TO_THING_GROUP` 緩解行動來新增裝置到您可以採取行動的群組。
   + 如果您要實作自訂回應以回應 Amazon SNS 訊息，套用 `PUBLISH_FINDINGS_TO_SNS` 緩解動作。

   如需更多詳細資訊，請參閱 [緩解動作](dd-mitigation-actions.md)。

1. 從每個裝置分離舊憑證。