密码学常见应用错误

原文地址：http://security.stackexchange.com/questions/2202/lessons-learned-and-misconceptions-regarding-encryption-and-cryptology

注：并非逐字翻译，有些是个人理解

1.不要自己发明加密算法

原因：加密算法十分复杂，需要大量的审核才能证明其安全。如果你自己发明了加密算法，则很难获得这种支持。你的新算法很可能因为某个未被意识到的弱点而被终结。

实现方法：使用高水平的、经过严格审查的加密算法和协议，你遇到的问题可能已经被别人发现并完美解决了。

2.不要使用不带MAC的加密

原因：如果加密时不使用MAC，会导致很严重的攻击。

实现方法：使用CCM、GCM等机制将加密和MAC一起完成，或使用“先加密，后MAC”的方法。

3.在拼接多个字符串做hash之前，要特别小心

原因：拼接字符串可能导致边境模糊问题。比如，拼接两个字符串“builtin”和“securely”得到“builtinsecurely”，然后做hash。攻击者可以通过输入“built”和“insecurely”得到相同的hash值。

实现方法：可以在拼接字符串前加入一些编码信息，比如字符串的长度。

4.确保随机数生成器有足够的熵

原因：如果随机数能够被猜到，后果可想而知

解决方法：使用真随机数（如：/dev/urandom）作为种子

5.不要重复使用nonce或IV

原因：会使得相同的明文得到相同的密文，从而导致灾难性的安全事件

实现方法：一个nonce或IV值只使用一次

6.加密和MAC不要使用同样的key，非对称加密和签名不要使用相同的key

原因：如果将一个key用于不同的用途，会导致一些微妙的攻击

实现方法：一个key只用于一种用途

7.不要使用ECB模式做对称加密

原因：相同的明文会有相同的密文，无法对抗统计分析攻击

实现方法：使用对称加密的其它模式（如：CTR）

8.Kerckhoffs定律：一个密码学系统的安全性必须建立在密钥保密的基础上，其他都是公开的。

原因：算法保密比较困难，而且保密的算法很难获得足够的安全性审查来保证其安全。另外，相对于算法本身，密钥比较小，保密比较容易，而且更新也容易。只通过保密密钥就能实现高等级的安全

9.不要把用户产生的口令作为加密的key

原因：大多数用户选择的口令没有足够的随机性来抵御离线攻击。

实现方法：使用足够的熵来产生加密/解密密钥

10.在密码学协议中，任何2条消息的密文都不应该一样

原因：需要抵御重放攻击和统计分析

11.不要把相同的key用在通信的2个方向上

原因：攻击者可能会将A发给B的密文再发回给A从而实现重放攻击

实现方法：申请两个独立的密钥分别用于两个通信方向

12.不要使用不安全的key长度

建议对称加密算法的密钥长度至少80bit；对于非对称加密算法，最低密钥长度取决于算法类型和安全等级。对于RSA，建议最低密钥长度为1024（最好是1536甚至是2048）；对于ECC，则为160bit，224bit则更好

13.使用正确的分组加密模式

不要使用CBC模式，这个模式暴露了很多安全问题（paddingoracle攻击、BEAST攻击、Lucky13攻击、TIME攻击、POODLE攻击）

14.不要在多台设备上使用相同的密钥

原因：密钥暴露的范围越广则越难保密

15.如果密钥被算法扩展（stretched） 了，则一次性密钥（one-time pad， OTP）不再是一次性的了

原因：“一次一密”提供了密码学上最强（牢不可破）的安全。但这种方式只有在以下三个条件同时满足时才是安全的：1)Key完全不可预 测，并且 2)Key与明文等长， 并且 3)Key不会被重复使用。违反上述3条中任意一条就不属于一次一密模式。如果使用短密钥并由算法扩展为与长密钥，则违背了1）。

16.不要信任标准：

原因：密码学中有很多标准，但不要认为写这些标准的人都充分理解密码学。MD5是标准，但已经被攻破了。Chip和PIN已经被攻破多次了。

应对方法：理解已知风险，跟进最新研究

17.不要在磁盘加密中使用一次一密（OTP）或流加密

原因：如果文件使用OTP/流加密，若明文的一小部分改变了，攻击者会发现只有特定bit改变了，从而能够推断处文件的一些信息；而且由于没有完整性检查，攻击者可以修改密文并观察修改对明文的影响

应对方法：使用块加密和完整性检查

18.不要使用OTP或流加密多于1次

原因没看懂