Пропавшие без вести ключевой силы приводят к ошибке времени выполнения или незащищенному шифрованию
Дефект происходит, когда вы загружаете файл сертификата X.509 в контекст SSL, но вы не загружаете соответствующий закрытый ключ, или ключ, который вы загружаете в контекст, является пустым.
Как правило, в обмене TLS/SSL, сервер удостоверяет свою личность во время квитирования TLS/SSL путем отправки сертификата X.509, который содержит информацию о сервере и открытом ключе. Клиент, который получает сертификат, использует открытый ключ, чтобы зашифровать и отправить предосновной секрет, который может только быть дешифрован с соответствующим закрытым ключом. Сервер использует дешифрованный предосновной секрет и другие обмененные сообщения, чтобы сгенерировать сеансовые ключи, которые используются, чтобы зашифровать сеанс связи.
Средство проверки не повышает дефекта если:
Вы передаете контекст SSL в качестве аргумента к функции, которая вызывает SSL_new
.
Вы объявляете контекст SSL вне осциллографа функции, обрабатывающей связь.
Загрузка закрытого ключа для сертификата X.509 может привести к ошибке времени выполнения на незащищенном шифровании.
Загрузите закрытый ключ сертификата X.509 в контекст SSL путем вызова SSL_CTX_use_PrivateKey_file
или загрузите закрытый ключ в структуру SSL путем вызова SSL_use_PrivateKey_file
.
Группа: криптография |
Язык: C | C++ |
Значение по умолчанию: Off |
Синтаксис командной строки:
CRYPTO_SSL_NO_PRIVATE_KEY |
Удар: Средняя |
ID CWE: 573 |
Find defects (-checkers)
| Missing certification authority list
| Missing X.509 certificate