Анализатор обнаружил, что в приложении используется устаревший алгоритм шифрования. Применение таких алгоритмов может привести к раскрытию конфиденциальных данных, утечке ключей, нарушению аутентификации и т. д.
Уязвимости, связанные с использованием небезопасных алгоритмов шифрования, могут быть отнесены к следующей категории OWASP Top 10 2021:
Рассмотрим пример:
public void encryptData(String data, SecretKey secretKey) {
Cipher cipher = null;
try {
cipher = Cipher.getInstance("DES"); // <=
} catch (NoSuchAlgorithmException | NoSuchPaddingException e) {
// ....
}
try {
cipher.init(Cipher.ENCRYPT_MODE, secretKey);
} catch (InvalidKeyException e) {
// ....
}
try {
byte[] encryptedData = cipher.doFinal(data.getBytes());
} catch (IllegalBlockSizeException | BadPaddingException e) {
// ....
}
// ....
}При проверке фрагмента анализатор сформирует предупреждение о том, что использование DES не рекомендуется.
Вместо устаревших алгоритмов следует использовать более современные. В примере, представленном выше, одним из решений может быть замена DES на AES:
public void encryptData(String data, SecretKey secretKey) {
Cipher cipher = null;
try {
cipher = Cipher.getInstance("AES/CBC/NoPadding");
} catch (NoSuchAlgorithmException | NoSuchPaddingException e) {
// ....
}
try {
cipher.init(Cipher.ENCRYPT_MODE, secretKey);
} catch (InvalidKeyException e) {
// ....
}
try {
byte[] encryptedData = cipher.doFinal(data.getBytes());
} catch (IllegalBlockSizeException | BadPaddingException e) {
// ....
}
// ....
}На сайте Oracle доступна документация по стандартным реализациям различных алгоритмов шифрования. Ниже приведены некоторые из них, нерекомендованные к использованию:
Например, рекомендация к использованию уже упоминавшегося Data Encryption Standard (DES) была отозвана в 2005 году. К нему на замену пришёл Advanced Encryption Standard (AES).
На официальном сайте OWASP по ссылке представлены различные методики проверки приложения на наличие потенциальных уязвимостей, связанных с использованием небезопасных алгоритмов шифрования.