經得起原始碼資安弱點掃描的程式設計習慣培養(十六)_RISKY_CRYPTO_Risky cryptographic function(WEAK RSA KEY LENGTH)
Using a key size less than 2048 bits with an asymmetric algorithm. An attacker with sufficient hardware can break this encryption by exhaustive key search
CWE-326: Inadequate Encryption Strength
由於密碼分析攻擊和雲端運算能力的進步,美國國家標準技術研究院 (NIST) 於 2011 年 1 月 1 日棄用了 1024 位元 RSA 金鑰。
憑證授權單位瀏覽器論壇以及所有瀏覽器的最新版本目前規定所有 RSA 金鑰的最小金鑰大小為 2048 位元。
(不安全程式碼)以下範例顯示RSACryptoServiceProvider
默認初始化若建構子捨麼都不指定就是 1024 位元長度的金鑰對。
RSACryptoServiceProvider alg = new RSACryptoServiceProvider();
same as
RSACryptoServiceProvider alg = new RSACryptoServiceProvider(1024);
(安全代碼)使用至少 2048 位元金鑰對配置RSACryptoServiceProvider 。
RSACryptoServiceProvider alg = new RSACryptoServiceProvider(2048);
SEC0125 - WEAK RSA KEY LENGTH
https://pumascan.com/rules/
留言
張貼留言