加密指以某種特殊的演算法改變原有的信息數據,使得未授權的用戶即使獲得了已加密的信息,但因不知解密的方法,仍然無法了解資訊的內容。常見的加密演算法主要可分為:對稱加密、非對稱加密、單向加密。各類加密演算法的使用場景不同,根據加密演算法的特性如運算速度、安全性、金鑰管理方式來選擇合適的演算法,但安全性是衡量加密演算法優劣的重要指標,容易被破解的加密演算法被稱為弱加密演算法,例如可以使用窮舉法在有限的時間內破解DES演算法。本篇文章以JAVA語言原始碼為例,分析弱加密產生的原因以及修復方法。
對於抗攻擊性弱的加密演算法,一旦被利用會造成個人隱私資訊外洩甚至財產損失。從2018年1月至2019年4月,CVE中共有2個漏洞資訊與其相關。漏洞資訊如下:
| #CVE | 漏洞概況 |
|---|---|
| CVE-2018-9028 | CA Privileged AccessManager 2.x中傳輸密碼時使用弱加密,降低了密碼破解的複雜性。 |
| CVE-2018-6619 | 在Easy Hosting Control Panel(EHCP)v0.37.12.b透過利用無鹽的弱加密演算法,使攻擊者更容易破解資料庫密碼。 |
3、範例程式碼
以下使用範例程式碼來自Benchmark (https://www.owasp.org/index .php/Benchmark),原始檔名:BenchmarkTest00019.java。
#上述範例程式碼操作是讀取請求中的內容並將其加密處理,在第49行取得讀取設定檔的實例 benchmarkprops。在第50行載入設定文件,在第52行~53行讀取設定檔中的屬性cryptoAlg1,若無此屬性預設使用DESede/ECB/PKCS5Padding 給algorithm 賦值。第54行將使用 algorithm 作為加密演算法建構加密物件c。接下來準備加密的密碼。第57~58行實例化了一個DES加密演算法的金鑰產生器。第59行指定加密物件 c 的操作模式為加密,其中 key 為金鑰。第62行~76行對將請求中的輸入流轉換為位元組數組input,在第77行進行對 input 進行加密,加密結果是位元組數組 result 。其中使用 DES 演算法產生的金鑰短,僅有56位,運算速度較慢,而且DES演算法完全依賴金鑰,易受窮舉搜尋法攻擊。
使用程式碼衛士對上述範例程式碼進行偵測,可以檢出「弱加密」缺陷,顯示等級為中。在程式碼行第57行報出缺陷,如圖1所示:
圖1:弱加密的偵測範例
在上述修復程式碼中,第58行使用AES演算法取代DES演算法,AES最少可產生128位,最高256位的金鑰,且運算速度快,佔用記憶體低。
使用程式碼衛士對修復後的程式碼進行偵測,可以看到已不存在「弱加密」缺陷。如圖2:
安全性要求較高的系統中,建議應使用安全的加密演算法(如AES、RSA)對敏感資料進行加密。
以上是C語言中如何避免弱加密的詳細內容。更多資訊請關注PHP中文網其他相關文章!
