Cryptographic Vulnerability: Hardcoded Key
暗号化の脆弱性: ハードコードされたキー
説明
データの暗号化および復号の主な目的は、情報の機密性を保証し、第三者が個人データを閲覧するのを防ぐことです。 事前共有キーは、大規模なデータセットを扱う場合や、アプリケーションまたはユーザーのアセットの機密性を保護するために使用される場合があります。 しかし、ハードコードされたキーを使用すると、デバイスが盗まれた場合に攻撃者がデータを復号して回復する可能性が高まります。
推奨事項
機密データの適切な暗号化を確実にするには:
- キーはデバイスに固有である必要があり、キーの計算にユーザーからの入力を使用することができます。
- パスワードからキーを生成する場合は、ソルト (salt) を使用します。
- パスワードからキーを生成する場合は、適切なハッシュの反復回数を指定します。
- この暗号化の強度を保証するのに十分な長さのキーを使用します。
リンク
標準
- OWASP_MASVS_L1:
- MSTG_CRYPTO_1
- OWASP_MASVS_L2:
- MSTG_CRYPTO_1
- PCI_STANDARDS:
- REQ_2_2
- REQ_3_5
- REQ_3_6
- REQ_3_7
- REQ_4_2
- REQ_6_2
- OWASP_MASVS_v2_1:
- MASVS_CRYPTO_2
- SOC2_CONTROLS:
- CC_2_1
- CC_4_1
- CC_6_7
- CC_7_1
- CC_7_2
- CC_7_4
- CC_7_5
- CNIL_FOR_DEVELOPERS:
- DEVELOPERS_4_1_4
- HIPAA_CONTROLS:
- SECURITY251
- SECURITY212
- SECURITY213