Анализатор обнаружил, что в приложении используется устаревший алгоритм шифрования. Применение таких алгоритмов может привести к раскрытию конфиденциальных данных, утечке ключей, нарушению аутентификации и т. д.
Уязвимости, связанные с использованием небезопасных алгоритмов шифрования, могут быть отнесены к следующей категории OWASP Top 10 2021:
Рассмотрим пример:
public void encryptData(String data, SecretKey secretKey) { Cipher cipher = null; try { cipher = Cipher.getInstance("DES"); // <= } catch (NoSuchAlgorithmException | NoSuchPaddingException e) { // .... } try { cipher.init(Cipher.ENCRYPT_MODE, secretKey); } catch (InvalidKeyException e) { // .... } try { byte[] encryptedData = cipher.doFinal(data.getBytes()); } catch (IllegalBlockSizeException | BadPaddingException e) { // .... } // .... }
При проверке фрагмента анализатор сформирует предупреждение о том, что использование DES не рекомендуется.
Вместо устаревших алгоритмов следует использовать более современные. В примере, представленном выше, одним из решений может быть замена DES на AES:
public void encryptData(String data, SecretKey secretKey) { Cipher cipher = null; try { cipher = Cipher.getInstance("AES/CBC/NoPadding"); } catch (NoSuchAlgorithmException | NoSuchPaddingException e) { // .... } try { cipher.init(Cipher.ENCRYPT_MODE, secretKey); } catch (InvalidKeyException e) { // .... } try { byte[] encryptedData = cipher.doFinal(data.getBytes()); } catch (IllegalBlockSizeException | BadPaddingException e) { // .... } // .... }
На сайте Oracle доступна документация по стандартным реализациям различных алгоритмов шифрования. Ниже приведены некоторые из них, нерекомендованные к использованию:
Например, рекомендация к использованию уже упоминавшегося Data Encryption Standard (DES) была отозвана в 2005 году. К нему на замену пришёл Advanced Encryption Standard (AES).
На официальном сайте OWASP по ссылке представлены различные методики проверки приложения на наличие потенциальных уязвимостей, связанных с использованием небезопасных алгоритмов шифрования.
Выявляемые диагностикой ошибки классифицируются согласно ГОСТ Р 71207–2024 как критические и относятся к типу: Ошибки некорректного использования системных процедур и интерфейсов, связанных с обеспечением информационной безопасности (шифрования, разграничения доступа и пр.). |
Данная диагностика классифицируется как:
|