Анализатор обнаружил, что в приложении создаётся собственный криптографический алгоритм. Создание или собственная реализация криптографических алгоритмов не рекомендуются.
Уязвимости, связанные с использованием собственных криптографических алгоритмов, могут быть отнесены к следующей категории OWASP Top 10 2021:
Так, ошибочным является создание класса-наследника MessageDigest:
public class CustomDigest extends MessageDigest {
public CustomDigest(String algorithm) {
super(algorithm);
// ....
}
// ....
}Одной из рекомендаций OWASP является использование современных и надёжных стандартных алгоритмов. MITRE также предлагает не разрабатывать собственные криптографические алгоритмы:
Do not develop custom or private cryptographic algorithms. They will likely be exposed to attacks that are well-understood by cryptographers. Reverse engineering techniques are mature. If the algorithm can be compromised if attackers find out how it works, then it is especially weak.
Вместо разработки собственного алгоритма лучше просто использовать, например, SHA-256:
var digest = MessageDigest.getInstance("SHA-256");