Дефекты криптографии

Дефекты, связанные с неправильным использованием стандартных программ криптографии OpenSSL

Эти дефекты связаны с неправильным использованием стандартных программ криптографии из библиотеки OpenSSL. Для образца:

  • Использование криптографически слабых алгоритмов

  • Отсутствие существенных элементов, таких как ключ шифра или вектор инициализации

  • Неправильный порядок криптографических операций

Результаты Polyspace

расширить все

Constant block cipher initialization vectorВектор инициализации является постоянным вместо рандомизированного
Predictable block cipher initialization vectorВектор инициализации генерируется из генератора слабых случайных чисел
Missing block cipher initialization vectorКонтекст, используемый для шифрования или расшифровки, связан с вектором инициализации NULL или не связан с вектором инициализации
Constant cipher keyКлюч шифрования или дешифрования является постоянным, а не рандомизированным
Predictable cipher keyКлюч шифрования или дешифрования генерируется из генератора слабых случайных чисел
Missing cipher keyКонтекст, используемый для шифрования или расшифровки, связан с ключом NULL или не связан с ключом
Inconsistent cipher operationsВы выполняете шаги шифрования и дешифрования последовательно с тем же контекстом шифра без повторной инициализации между
Missing cipher data to processЗаключительный шаг шифрования или дешифрования выполняется без предыдущих шагов обновления
Missing cipher final stepВы не выполняете последний шаг после шагов обновления для шифрования или расшифровки данных
Missing cipher algorithmАлгоритм шифрования или дешифрования не связан с контекстом шифра
Weak cipher algorithmАлгоритм шифрования, сопоставленный с контекстом шифра, слаб
Weak cipher modeРежим шифрования, сопоставленный с контекстом шифра, слаб
Context initialized incorrectly for cryptographic operationКонтекст, используемый для операции криптографии открытого ключа, инициализируется для другой операции
Incorrect key for cryptographic algorithmОперация криптографии открытого ключа не поддерживается алгоритмом, используемым при инициализации контекста
Missing data for encryption, decryption or signing operationДанные, предоставленные для операции криптографии открытого ключа, имеют значение NULL или длина данных равна нулю
Missing parameters for key generationКонтекст, используемый для генерации ключа, связан с параметрами NULL
Missing peer keyКонтекст, используемый для производной от общего секрета, связан с одноранговым ключом NULL или не связан с одноранговым ключом вообще
Missing private keyКонтекст, используемый для операции криптографии, связан с закрытым ключом NULL или не связан с закрытым ключом вообще
Missing public keyКонтекст, используемый для операции криптографии, связан с открытым ключом NULL или не связан с открытым ключом вообще
Nonsecure parameters for key generationКонтекст, используемый для генерации ключа, связан со слабыми параметрами
Incompatible padding for RSA algorithm operationОперация криптографии не поддерживается набором типов заполнения в контексте
Missing blinding for RSA algorithmКонтекст, используемый при расшифровке или верификации подписи, не ослеплен от атак синхронизации
Missing padding for RSA algorithmКонтекст, используемый в операции шифрования или подписи, не связан с заполнением
Nonsecure RSA public exponentКонтекст, используемый в генерации ключа, связан с низким значением экспоненты
Weak padding for RSA algorithmКонтекст, используемый в операции шифрования или подписания, связан с небезопасным типом заполнения
Context initialized incorrectly for digest operationКонтекст, используемый для операции дайджеста, инициализируется для другой операции дайджеста
Missing final step after hashing update operationХэш является неполным или небезопасным
Missing hash algorithmКонтекст в стандартной программе EVP инициализируется без хэш-алгоритма
Missing salt for hashing operationХэшированные данные уязвимы для атаки радужной таблицы
No data added into contextВыполнение хэш- операция в пустом контексте может привести к ошибкам времени выполнения
Nonsecure hash algorithmКонтекст, используемый для создания дайджеста сообщений, связан со слабым алгоритмом
Missing certification authority listНе удается доверять сертификату для проверки подлинности
Missing private key for X.509 certificateОтсутствующий ключ может привести к ошибке времени выполнения или небезопасному шифрованию
Missing X.509 certificateНе удается выполнить проверку подлинности сервера или клиента
Nonsecure SSL/TLS protocolКонтекст, используемый для обработки SSL/TLS-соединений, связан со слабым протоколом
Server certificate common name not checkedАтакующий может использовать допустимый сертификат для олицетворения доверенного узла
TLS/SSL connection method not setПрограмма не может определить, вызывать ли клиентские или серверные стандартные программы
TLS/SSL connection method set incorrectlyПрограмма вызывает функции, которые не совпадают с ролями, установленными методом соединения
X.509 peer certificate not checkedСвязь может быть уязвима для атак «человек посередине»

Темы

Группы дефектов Bug Finder

Проверки дефектов Bug Finder классифицируются в такие группы, как поток данных, параллелизм, численный и так далее.