經得起原始碼資安弱點掃描的程式設計習慣培養(十六)_RISKY_CRYPTO_Risky cryptographic function(WEAK RSA KEY LENGTH)

 Using a key size less than 2048 bits with an asymmetric algorithm. An attacker with sufficient hardware can break this encryption by exhaustive key search


CWE-326: Inadequate Encryption Strength


由於密碼分析攻擊和雲端運算能力的進步,美國國家標準技術研究院 (NIST) 於 2011 年 1 月 1 日棄用了 1024 位元 RSA 金鑰。

憑證授權單位瀏覽器論壇以及所有瀏覽器的最新版本目前規定所有 RSA 金鑰的最小金鑰大小為 2048 位元。


(不安全程式碼)以下範例顯示RSACryptoServiceProvider
默認初始化若建構子捨麼都不指定就是 1024 位元長度的金鑰對。
RSACryptoServiceProvider alg = new RSACryptoServiceProvider();
same as
RSACryptoServiceProvider alg = new RSACryptoServiceProvider(1024);

(安全代碼)使用至少 2048 位元金鑰對配置RSACryptoServiceProvider 。
RSACryptoServiceProvider alg = new RSACryptoServiceProvider(2048);


SEC0125 - WEAK RSA KEY LENGTH
https://pumascan.com/rules/

留言

這個網誌中的熱門文章

何謂淨重(Net Weight)、皮重(Tare Weight)與毛重(Gross Weight)

Architecture(架構) 和 Framework(框架) 有何不同?_軟體設計前的事前規劃的藍圖概念

經得起原始碼資安弱點掃描的程式設計習慣培養(五)_Missing HSTS Header