失败使用了算法也会被破解吗海量资源.pdfVIP

加密失败：使用了加密算法也会加密失败：使用了加密算法也会密失败：使用了加密算法也会被吗？吗？？

：：：666java666java666javacomcomcom

APP

|加密失败：使用了加密算法也会被吗？

2021-12-29王昊天

《Web挖掘实战》课程介绍

讲述：王昊天



时长12:54大小11.82M

你好，我是王昊天。

从这节课开始我们开启了新的模块——加密失败的学习。这是2021OWASPTOP10的

第二的风险种类，与失效的控制相比，加密失败地体现为一种单点技术问

题，通常是由于开发人员对加密过程使用不合理造成的。

先来一个我的小故事：

Dota2玩家，我有一台自己的Windows台式机，配置是i7-4790k+16G

Dota2玩家，我有一台自己的Windows台式机，配置是i7-4790k+16G

存+256GBSSD。相信你能看出来，虽然这台机器在当时也算小“高端”配置，但到现在

存+256GBSSD。相信你能看出来，虽然这台机器在当时也算小“高端”配置，但到现在

已经稍微有点力不从心了。

1/11

加密失败：使用了加密算法也会加密失败：使用了加密算法也会密失败：使用了加密算法也会被吗？吗？？

：：：666java666java666javacomcomcom

于是我便产生了更新硬件的想法——经过多次测试，我觉得性能下降的主要问题在于CPU

温度，这法在我了“4790k散热”更加坚定，于是我决定用水冷取代原来

CPU自带的小风扇。在某东购置了水冷设备后，经过简单的安装，顺利开机。令人惊讶的

一幕出现了：原来开机CPU温度是70℃，现在是99℃，由于温度过高开机不到20

分钟就会自动关机。

为什么水冷会比风冷效果还差呢？是不是水冷设备没有工作？但我是按照说明书安装的，

看起来呼吸灯也是亮的。看着的水冷设备，没有任何有效的判断方式，我的内心是

的。经过接近半天时间的不断调试和开机测试，最终我找到了问题——螺丝没有拧紧

导致接触不严密，散热效果没有发挥出来。

这个故事，我是想说的是，在面对一个我们完全不了解的黑盒产品时，使用过程中出

问题的可能性是很大的，加密失败这种安全风险往往就因此产生。

加密是一个数学问题，应用到了开发场景。事实上，加密函数就像一个黑盒，开发人员能

够考虑的只有输入和输出，其中输出还是非常复杂的。加密是否成功，极大地影响着系统

的安全性，但是很多开发人员，对加密却没有深入研究。因此，只验证加密结果的正确

性，却不验证加密结果的质量是不行的。接下来的几节课我们会重点讨论加密结果的质量

问题。

加密失败

在国内的建设大背景下，系统的数据安全已经愈加重要，其中首先要考虑的就是

数据的传输层和层的安全。这些环节中主要采用的保护方案就是加密，目前加密已经

渗透到了开发的方方面面。也许这样描述你没有直观的感受，那么我们来看一些场景：

目前数据是否是通过明文进行传输的？

目前业务系统中是否存在旧版本或者强度比较低的加密函数？

服务器上的是否合法有效，信任链是否完整？

加密函数的初始化序列是否被合理使用？是否使用了不安全的加密操作，比如ECB？

随机数是否得到了合理的初始化，以及是