悟空云課堂丨代碼安全第十四期：使用已破解或危險的加密算法導(dǎo)致的漏洞

中科天齊傾情打造《悟空云課堂》旨在科普軟件安全相關(guān)知識，助力企業(yè)有效防范軟件安全漏洞，提升網(wǎng)絡(luò)安全防護(hù)能力。本期主題為使用已破解或危險的加密算法導(dǎo)致漏洞的相關(guān)介紹。

一、什么是使用已破解或危險的加密算法導(dǎo)致的漏洞?

使用已破解或者有風(fēng)險的加密算法會產(chǎn)生軟件風(fēng)險，可能導(dǎo)致敏感信息暴露。使用非標(biāo)準(zhǔn)算法相對危險較高，因為惡意攻擊者可能會利用該算法的漏洞進(jìn)而危害任何受保護(hù)的數(shù)據(jù)。

二、使用已破解或危險的加密算法導(dǎo)致的漏洞構(gòu)成條件有哪些?

滿足以下條件，就構(gòu)成了一個使用已破解或危險的加密算法導(dǎo)致的安全漏洞：

1、使用已破解或危險的加密算法進(jìn)行加密。

三、使用已破解或危險的加密算法導(dǎo)致的漏洞會造成哪些后果?

關(guān)鍵詞：讀取應(yīng)用程序數(shù)據(jù);修改應(yīng)用程序數(shù)據(jù);隱藏活動

使用已破解或危險的加密算法可能會危及敏感數(shù)據(jù)的機(jī)密性、完整性。

如果使用加密算法來確保數(shù)據(jù)源的身份(例如數(shù)字簽名)，那么使用已破解或危險的加密算法將危及該方案，并且無法證明數(shù)據(jù)的來源。

四、使用已破解或危險的加密算法導(dǎo)致的漏洞的防范和修補方法有哪些?

當(dāng)需要存儲或傳輸敏感數(shù)據(jù)時，使用強(qiáng)大的、最新的加密算法加密該數(shù)據(jù)。選擇一個目前被該領(lǐng)域?qū)＜艺J(rèn)為是強(qiáng)大的、經(jīng)過仔細(xì)審查的算法，并使用經(jīng)過充分測試的加密算法。

五、使用已破解或危險的加密算法導(dǎo)致的漏洞樣例：

用Wukong軟件靜態(tài)分析工具檢測上述程序代碼，則可以發(fā)現(xiàn)代碼中存在著“使用已破解或危險的加密算法” 導(dǎo)致的代碼缺陷，如下圖：

使用已破解或危險的加密算法在CWE中被編號為CWE-327: Use of a Broken or Risky Cryptographic Algorithm