密碼科普|密碼應(yīng)用的安全性問題

• 未明確約定協(xié)議底層使用的算法名稱及參數(shù)

• 擅自修改數(shù)據(jù)接口及數(shù)據(jù)格式

• 簡化使用標(biāo)準(zhǔn)所規(guī)定的密碼協(xié)議

• 大量的SSL軟件并沒有正確地驗證網(wǎng)絡(luò)實體與公鑰／數(shù)字證書的綁定關(guān)系，在數(shù)字證書驗證過程中沒有檢查根證書配置和實體身份標(biāo)識，在這種情況下，即使啟用了SSL協(xié)議，仍然會存在中間人攻擊的風(fēng)險

• ……

03 密碼技術(shù)被誤用

如果相關(guān)單位對密碼應(yīng)用缺乏技能和經(jīng)驗，不清楚合規(guī)性要求，不了解密碼算法的類型、協(xié)議參與方的角色要求、關(guān)鍵參數(shù)的類型和規(guī)模等基本知識，錯誤調(diào)用密碼技術(shù)，就會不可避免地產(chǎn)生安全漏洞。

常見案例:

棄用、亂用、誤用密碼技術(shù)都將導(dǎo)致安全問題。因此，合規(guī)、正確、有效使用密碼技術(shù)是信息系統(tǒng)責(zé)任單位、應(yīng)用開發(fā)商等相關(guān)主體必須學(xué)習(xí)并熟練掌握的基本能力。同時也必須認(rèn)識到，只有責(zé)任單位、應(yīng)用開發(fā)商等相關(guān)主體了解、提煉實際安全需求，才能在其使用密碼技術(shù)建設(shè)安全應(yīng)用的過程中有機(jī)會做到“正確規(guī)范”。

以某應(yīng)用中需要“抗抵賴簽名”為例，關(guān)鍵信息包括簽名者的身份、簽署內(nèi)容的類型、具體的數(shù)據(jù)格式及驗簽者的身份等。這些與實際應(yīng)用密切相關(guān)的細(xì)節(jié)信息，是密碼技術(shù)自身所不能掌握的。信息系統(tǒng)責(zé)任單位務(wù)必與相關(guān)主體深入溝通，明確此類細(xì)節(jié)，提煉安全需求，從而為正確規(guī)范使用密碼技術(shù)做好準(zhǔn)備。

合規(guī)、正確、有效使用密碼，使用自主、安全、可控的密碼，才能有力護(hù)航國家安全和經(jīng)濟(jì)社會發(fā)展，有力保障公民合法權(quán)益和個人隱私。

——部分內(nèi)容摘錄自《商用密碼應(yīng)用與安全性評估》