軟件代碼中密碼學誤用的分析與審查方法研究.pdf

1、密碼學是計算機安全的重要組成部分，密碼技術是解決計算機信息安全問題的重要技術之一。密碼算法和密碼協(xié)議確保了信息的機密性、認證性和完整性，在數(shù)據(jù)存儲、安全傳輸和身份認證中發(fā)揮重要作用。正確的使用密碼學能夠提供很強的安全保證，但是現(xiàn)實情況是，將復雜的密碼學算法和協(xié)議應用于實際系統(tǒng)比較困難，同時由于一般開發(fā)者密碼知識的欠缺，導致了密碼學誤用現(xiàn)象廣泛的出現(xiàn)在各種應用場景中。
　　密碼學應用的場景非常廣泛，包括移動平臺、嵌入式平臺和服務器平

2、臺，而不同的平臺又有各自相異的特性：
　　1、不同平臺中的應用特點是不同的。
　　2、不同場景開發(fā)人員具備的知識背景不同。
　　3、不同場景本身的屬性和功能、特點也不相同。
　　比如Android平臺應用市場眾多，來源廣泛，安全檢測也會相對不足，密碼學誤用現(xiàn)象更為嚴重。移動平臺的眾多開發(fā)者具備的密碼學知識參差不齊；另外，嵌入式平臺相比服務器平臺來說，由于硬件功能有一定的局限性，在隨機數(shù)產(chǎn)生時會出現(xiàn)問題，而服務器平

3、臺本身在PKI體系或者web服務等環(huán)境中也實現(xiàn)了特定的功能。這些平臺特性的差異，直接導致了特定密碼學誤用問題更多的出現(xiàn)在某類平臺中。如何在現(xiàn)實應用中正確的實現(xiàn)密碼系統(tǒng)，如何審查不同場景中密碼學實現(xiàn)情況已成為當務之急。
　　本文圍繞軟件代碼中密碼學實現(xiàn)時的誤用問題，綜合討論現(xiàn)有的研究成果，并結合各類應用程序的實際部署場景，從不同應用平臺所具備的特性差異出發(fā)，分析密碼學誤用與平臺的相關性，同時依據(jù)對誤用問題和攻擊的分析，提出針特定場景

4、中密碼學執(zhí)行時的安全標準和審計方法，并通過實驗對現(xiàn)實系統(tǒng)中密碼學實現(xiàn)情況進行調(diào)查和評估。本文的主要貢獻如下：
　　1.全面總結了現(xiàn)有對密碼學誤用問題的研究工作，包括常用密碼系統(tǒng)和協(xié)議實現(xiàn)時存在的誤用問題、針對密碼學誤用的典型攻擊、現(xiàn)有的檢測技術等。
　　2.分析密碼學所部署的移動平臺、嵌入式平臺和服務器平臺特性差異，收集密碼學誤用（CWE-310）相關CVE(Common Vulnerabilities and Exposu