注:并非逐字翻译,有些是个人理解
1.不要自己发明加密算法
原因:加密算法十分复杂,需要大量的审核才能证明其安全。如果你自己发明了加密算法,则很难获得这种支持。你的新算法很可能因为某个未被意识到的弱点而被终结。
实现方法:使用高水平的、经过严格审查的加密算法和协议,你遇到的问题可能已经被别人发现并完美解决了。
2.不要使用不带MAC的加密
原因:如果加密时不使用MAC,会导致很严重的攻击。
实现方法:使用CCM、GCM等机制将加密和MAC一起完成,或使用“先加密,后MAC”的方法。
3.在拼接多个字符串做hash之前,要特别小心
原因:拼接字符串可能导致边境模糊问题。比如,拼接两个字符串“builtin”和“securely”得到“builtinsecurely”,然后做hash。攻击者可以通过输入“built”和“insecurely”得到相同的hash值。
实现方法:可以在拼接字符串前加入一些编码信息,比如字符串的长度。
4.确保随机数生成器有足够的熵
原因:如果随机数能够被猜到,后果可想而知
解决方法:使用真随机数(如:/dev/urandom)作为种子
5.不要重复使用nonce或IV
原因:会使得相同的明文得到相同的密文,从而导致灾难性的安全事件
实现方法:一个nonce或IV值只使用一次
6.加密和MAC不要使用同样的key,非对称加密和签名不要使用相同的key
原因:如果将一个key用于不同的用途,会导致一些微妙的攻击
实现方法:一个key只用于一种用途
7.不要使用ECB模式做对称加密
原因:相同的明文会有相同的密文,无法对抗统计分析攻击
实现方法:使用对称加密的其它模式(如:CTR)
8.Kerckhoffs定律:一个密码学系统的安全性必须建立在密钥保密的基础上,其他都是公开的。
原因:算法保密比较困难,而且保密的算法很难获得足够的安全性审查来保证其安全。另外,相对于算法本身,密钥比较小,保密比较容易,而且更新也容易。只通过保密密钥就能实现高等级的安全
9.不要把用户产生的口令作为加密的key
原因:大多数用户选择的口令没有足够的随机性来抵御离线攻击。
实现方法:使用足够的熵来产生加密/解密密钥
10.在密码学协议中,任何2条消息的密文都不应该一样
原因:需要抵御重放攻击和统计分析
11.不要把相同的key用在通信的2个方向上
原因:攻击者可能会将A发给B的密文再发回给A从而实现重放攻击
实现方法:申请两个独立的密钥分别用于两个通信方向
12.不要使用不安全的key长度
建议对称加密算法的密钥长度至少80bit;对于非对称加密算法,最低密钥长度取决于算法类型和安全等级。对于RSA,建议最低密钥长度为1024(最好是1536甚至是2048);对于ECC,则为160bit,224bit则更好
13.使用正确的分组加密模式
不要使用CBC模式,这个模式暴露了很多安全问题(paddingoracle攻击、BEAST攻击、Lucky13攻击、TIME攻击、POODLE攻击)
14.不要在多台设备上使用相同的密钥
原因:密钥暴露的范围越广则越难保密
15.如果密钥被算法扩展(stretched) 了,则一次性密钥(one-time pad, OTP)不再是一次性的了
原因:“一次一密”提供了密码学上最强(牢不可破)的安全。但这种方式只有在以下三个条件同时满足时才是安全的:1)Key完全不可预 测,并且 2)Key与明文等长, 并且 3)Key不会被重复使用。违反上述3条中任意一条就不属于一次一密模式。如果使用短密钥并由算法扩展为与长密钥,则违背了1)。
16.不要信任标准:
原因:密码学中有很多标准,但不要认为写这些标准的人都充分理解密码学。MD5是标准,但已经被攻破了。Chip和PIN已经被攻破多次了。
应对方法:理解已知风险,跟进最新研究
17.不要在磁盘加密中使用一次一密(OTP)或流加密
原因:如果文件使用OTP/流加密,若明文的一小部分改变了,攻击者会发现只有特定bit改变了,从而能够推断处文件的一些信息;而且由于没有完整性检查,攻击者可以修改密文并观察修改对明文的影响
应对方法:使用块加密和完整性检查
18.不要使用OTP或流加密多于1次
原因没看懂
609
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
