Google的研究人員剛剛創造了計算機加密學在2017年的第一個里程碑：他們攻破了SHA-1安全加密演算法。

這確實是一個里程碑，其實很早之前Google就已經制定規則停止SHA1的使用了。

安全加密演算法其實是所有開發團隊都需要重視的問題之一，蓋因低強度的加密演算法太過於容易被攻破，而底層的密碼演算法被攻破直接代表著上層應用的土崩瓦解。

再來說說什麼是碰撞，不得不提山東大學的王小云教授和MD5演算法。

從根本上講，MD5演算法是一種摘要演算法，它可以從多個位元組組成的串中計算出由32個位元組構成的“特徵串”。對於超過32位元組的串來說，MD5計算得出的值必然是其一個子集，所以必然存在兩個（或更多）不同的串能夠得出相同MD5值的情況。這種情況就叫做MD5碰撞。

王小云教授的貢獻在於她找到了一種方法，可以在已知原文的情況下構造出另一個跟原文MD5值相同的串。並且該計算過程所消耗的時間是有限的、可計算的。

從這一點來說，MD5方法確實已經不可靠了。說得俗一點：你可以將某個檔案的MD5值弄的跟Word.exe的完全一樣。但是你卻無法讓這個檔案包含你所希望的某種功能。

話題回到研發流程中，如何避免使用低強度的加密或者雜湊演算法？研發團隊雖然不敏感，但Coverity已經提供了自動化的程式碼靜態分析檢測規則：RISKY_CRYPTO

RISKY_CRYPTO 可查詢使用容易遭到加密攻擊或存在其他風險的加密演算法的情況。示例包括使用根據當前標準較弱的舊版演算法，以及特定演算法的不當使用。

RISKY_CRYPTO 的預設策略包括以下規則：

• 不應使用 DES 演算法。該演算法已過時，具有先進硬體的攻擊者只需數日即可破解 DES 加密。這相當於以下檢查器選項：forbid:DES|PBEMD5DDES/*/*/*

• 不應在未使用隨機 padding 的情況下使用 RSA 演算法。缺少隨機 padding 可讓攻擊者破解此加密，例如使用 Coopersmith’s Attack。這相當於以下檢查器選項：forbid:RSA/*/NOPD/*

• 不應使用 ECB 塊模式。如果兩塊純文字相同，且這兩塊使用相同金鑰加密，則這兩塊的密文也將相同。這將洩漏有關基礎資料的資訊。這相當於以下檢查器選項：forbid:*/ECB/*/*

• 不應使用弱 hash 演算法和容易衝突的 hash 演算法。不安全的 hash 可能還會允許長度擴充套件攻擊，攻擊者可通過此類攻擊為使用原始訊息作為字首的訊息生成有效 hash。這相當於以下檢查器選項：forbid:SHA0|SHA1|MD2|MD4|MD5|RIPEMD/*/*/*

• 不應使用 RC4 演算法。該演算法的初始輸出包含可測量偏差，這可以讓具有足夠硬體的攻擊者破解此加密。

這相當於以下檢查器選項：forbid:RC4/*/*/*

• 不應使用少於 128 位的金鑰大小。針對對稱密碼演算法使用短金鑰可以讓具有足夠硬體的攻擊者破解此加密。

• 對於 C# 和 Java：

預覽 Web 應用程式安全檢查器啟用。要啟用 RISKY_CRYPTO 與其他預覽級 Web 應用程式檢查器，請使用 --webapp-security-preview 選項。

示例

本部分提供了一個或多個 RISKY_CRYPTO 示例。

C/C++

下面的示例呼叫了 Windows Crytography API 函式 CryptoDeriveKey 來生成使用資料加密標準 (DES)的金鑰，這是一種保護作用很有限的演算法，因為通過桌上型電腦可以很輕鬆地破解該演算法。

CryptDeriveKey(hCryptProv, CALG_DES, hHash, 0, &hKey));

C#

下面的示例使用了舊版 DES 演算法，這是一種保護作用很有限的演算法，因為通過桌上型電腦可以很輕鬆地破解該演算法。

DES des = DES.Create("DES");

下面的示例建立了用於強 AES 演算法的金鑰，但使用了 96 位的弱金鑰大小。該檢查器可針對弱金鑰大小報告缺陷。

Aes aes = Aes.Create("AES");

aes.KeySize = 96;

Java

下面的示例使用了舊版 DES 演算法，這是一種保護作用很有限的演算法，因為通過桌上型電腦可以很輕鬆地破解該演算法。

Cipher desCipher = Cipher.getInstance("DES");

下面的示例建立了用於強 AES 演算法的金鑰，但使用了 112 位的弱金鑰大小。該檢查器可針對弱金鑰大小報告缺陷。

KeyGenerator keyGenerator = KeyGenerator.getInstance("AES");

keyGenerator.init(112);

選項

本部分描述了一個或多個 RISKY_CRYPTO 選項。

• RISKY_CRYPTO:allow:<transformation> - [已廢棄] 自版本 7.7.0 起此選項已廢棄，並將在未來版本中移除。

• RISKY_CRYPTO:assume_fips_mode:<boolean> - 被設定為 true 時，此選項會將加密提供程式視為 FIPS 140 相容。由於此模式禁止使用 SSL 版本 2.0 和 3.0（無論顯式還是預設），因此此選項將抑制相關缺陷。預設值為 RISKY_CRYPTO:assume_fips_mode:false

RISKY_CRYPTO:forbid:<transformation> - 此選項可將指定的轉換新增到被視為"有風險"的加密轉換集合中。該檢查器將在發現指定轉換時報告缺陷。預設值未設定。

您可以多次指定此選項，以便對每次轉換執行 OR 運算。

• RISKY_CRYPTO:require_asymmetric:<transformation> - 此選項要求所有不對稱演算法匹配指定的轉換。該選項會覆蓋用於不對稱演算法的所有其他選項。如果該檢查器發現與此選項不匹配的不對稱轉換，它會報告缺陷。預設值未設定。

您可以多次指定此選項，以便對每次轉換執行 OR 運算。

有關選項值的描述，請參閱轉換格式。

• RISKY_CRYPTO:require_hash:<transformation> - 此選項要求所有 hash 演算法匹配指定的轉換。該選項會覆蓋用於 hash 演算法的所有其他選項。如果該檢查器發現與此選項不匹配的 hash 轉換，它會報告缺陷。預設值未設定。您可以多次指定此選項，以便對每次轉換執行 OR 運算。有關選項值的描述，請參閱轉換格式。

• RISKY_CRYPTO:require_symmetric:<transformation> - 此選項要求所有對稱演算法匹配指定的轉換。該選項會覆蓋用於對稱演算法的所有其他選項。如果該檢查器發現與此選項的值不匹配的對稱轉換，它會報告缺陷。預設值未設定。您可以多次指定此選項，以便對每次轉換執行 OR 運算。

轉換格式

<transformation> 值是採用 <Algorithm>/<Block Mode>/<Padding>/<Minimum Key

Size> 格式編寫的元組。對於 <Algorithm>、<Block Mode> 和 <Padding> 中的每一個，指

定的值都是描述該演算法的字串。<Minimum Key Size> 獲取正值（以位為單位）。*（星號）表示轉換可以與該欄位的任意值匹配。轉換示例為 AES/CBC/*/128。此外，還可以使用符號 | 表示任意欄位的 OR 運算；例如：AES|Blowfish/CBC/*/128

事件

本部分描述了 RISKY_CRYPTO 檢查器生成的一個或多個事件。

• crypto_field - 檢測到特定型別的加密資料元素。此元素可能是演算法、塊密碼模式或與該檢查器相關的某些其他資訊。

• risky_crypto_use - 發現錯誤的加密配置。

同時發個檢測示例如下（現在已經全部中文化了，截圖的Linux系統沒裝中文字型庫）：

如果您想要使用Coverity，請聯絡原廠負責人韓葆，15210834682，[email protected]