spring-security - Spring Security の BCrypt 実装は脆弱ですか?

Question

当社のセキュリティ監査により、bcrypt ハッシュのプレフィックスが「$2a$」であることがわかりました。[1] および [2] によると、これは古い脆弱な bcrypt 実装が使用されていることを示している可能性があります。

だから - ここで私の質問：

1. Spring Security の bcrypt 実装には脆弱性が含まれていますか?
2. Spring Security は「$2x$」および「$2y$」プレフィックスをサポートしていますか?

参考文献:
[1] http://blog.ircmaxell.com/2012/12/seven-ways-to-screw-up-bcrypt.html
[2] http://www.openwall.com/lists/oss-security /2011/06/21/16

Answer 1

1. あなたが提供するリンクは、BCrypt の C 実装の脆弱性に関するものです。Spring Security 実装は、Java で記述された別の実装であるjBCryptのフォークです。

2. ソースコードを見ると、バージョン 3.2.5 の時点で、Spring Security は「$2x$」および「$2y$」プレフィックスをサポートしていません。この実装には C の脆弱性は含まれていませんが、現在の C ベースの実装 (PHP など) とは相互運用できません。