C語言中如何避免弱加密

1、弱加密

加密指以某種特殊的演算法改變原有的信息數據，使得未授權的用戶即使獲得了已加密的信息，但因不知解密的方法，仍然無法了解資訊的內容。常見的加密演算法主要可分為：對稱加密、非對稱加密、單向加密。各類加密演算法的使用場景不同，根據加密演算法的特性如運算速度、安全性、金鑰管理方式來選擇合適的演算法，但安全性是衡量加密演算法優劣的重要指標，容易被破解的加密演算法被稱為弱加密演算法，例如可以使用窮舉法在有限的時間內破解DES演算法。本篇文章以JAVA語言原始碼為例，分析弱加密產生的原因以及修復方法。

2、 弱加密的危害

對於抗攻擊性弱的加密演算法，一旦被利用會造成個人隱私資訊外洩甚至財產損失。從2018年1月至2019年4月，CVE中共有2個漏洞資訊與其相關。漏洞資訊如下：

#CVE	漏洞概況
CVE-2018-9028	CA Privileged AccessManager 2.x中傳輸密碼時使用弱加密，降低了密碼破解的複雜性。
CVE-2018-6619	在Easy Hosting Control Panel（EHCP）v0.37.12.b透過利用無鹽的弱加密演算法，使攻擊者更容易破解資料庫密碼。

3、範例程式碼

以下使用範例程式碼來自Benchmark (https://www.owasp.org/index .php/Benchmark)，原始檔名：BenchmarkTest00019.java。

3.1缺陷代碼

#上述範例程式碼操作是讀取請求中的內容並將其加密處理，在第49行取得讀取設定檔的實例 benchmarkprops。在第50行載入設定文件，在第52行~53行讀取設定檔中的屬性cryptoAlg1，若無此屬性預設使用DESede/ECB/PKCS5Padding 給algorithm 賦值。第54行將使用 algorithm 作為加密演算法建構加密物件c。接下來準備加密的密碼。第57~58行實例化了一個DES加密演算法的金鑰產生器。第59行指定加密物件 c 的操作模式為加密，其中 key 為金鑰。第62行~76行對將請求中的輸入流轉換為位元組數組input，在第77行進行對 input 進行加密，加密結果是位元組數組 result 。其中使用 DES 演算法產生的金鑰短，僅有56位，運算速度較慢，而且DES演算法完全依賴金鑰，易受窮舉搜尋法攻擊。

使用程式碼衛士對上述範例程式碼進行偵測，可以檢出「弱加密」缺陷，顯示等級為中。在程式碼行第57行報出缺陷，如圖1所示：

圖1：弱加密的偵測範例

3.2 修復程式碼

在上述修復程式碼中，第58行使用AES演算法取代DES演算法，AES最少可產生128位，最高256位的金鑰，且運算速度快，佔用記憶體低。

使用程式碼衛士對修復後的程式碼進行偵測，可以看到已不存在「弱加密」缺陷。如圖2：

圖2：修正後偵測結果

4、  如何避免弱加密

安全性要求較高的系統中，建議應使用安全的加密演算法（如AES、RSA)對敏感資料進行加密。

以上是C語言中如何避免弱加密的詳細內容。更多資訊請關注PHP中文網其他相關文章！