2

ハッシュ (改ざんや破損を検出するため) で保護され、オプションでユーザーのキーを使用した暗号化で保護されているファイルを読み書きするアプリケーションがあるとします。アプリケーションには、データをハッシュ、暗号化、および復号化するためのコンパイル済みコードが必ず含まれます。

ソルト化およびストレッチ化された AES-256 や SHA-256 などの厳密なアルゴリズムを使用していると仮定すると、ユーザーはアプリケーションをコンパイル済みの形式で持っているという事実があります (そして、使用されているアルゴリズムを何らかの努力で解決できる可能性があります)。暗号を解読するか、偽のハッシュを生成しますか?

これが実際に深刻な脆弱性である場合、脆弱性を軽減するためにどのような対策を提案しますか?

4

1 に答える 1

4

アプリケーションのソースが脆弱性になる唯一のケースは、アプリケーション自体に深刻な欠陥がある場合です。たとえば、

  • 隠蔽技術によるセキュリティを採用しており、
  • プログラムの本体にシークレットを埋め込み、
  • よく知られているアルゴリズムを実装する際に、実装を攻撃にさらすミスを犯します。

基本的に、攻撃者がコードの誤りを見つけやすくなるため、攻撃者がソースを入手すると、製品はより脆弱になります。ただし、アプリケーションをクラック可能にするのはコーディングの誤りであり、攻撃者がソース コードを入手しているという事実ではありません。

于 2013-02-26T01:36:51.990 に答える