V6.2.2 Algorithms

Requirement:

Verify that industry proven or government approved cryptographic algorithms, modes, and libraries are used, instead of custom coded cryptography. (C8)

Explanation:

Криптографические алгоритмы — это методы, с помощью которых данные скремблируются для предотвращения наблюдения или влияния неавторизованных субъектов. Небезопасная криптография может быть использована для раскрытия конфиденциальной информации, изменения данных неожиданными способами, подделки удостоверений других пользователей или устройств или других воздействий.

Надёжные алгоритмы шифрованияhttps://owasp.deteact.com/cheat/cheatsheets/Cryptographic_Storage_Cheat_Sheet.htmlОбщая практика и минимальные требования к длине ключа в зависимости от сценарияKey exchange: Diffie–Hellman key exchange with minimum 2048 bitsMessage Integrity: HMAC-SHA2Message Hash: SHA2 256 bitsAsymmetric encryption: RSA 2048 bitsSymmetric encryption: AES 128 bitsPassword Hashing: Argon2, PBKDF2, Scrypt, Bcrypt

Требование гласит, что вместо использования кастомной криптографии, вы должны проверить и обеспечить использование в своей системе проверенных промышленностью или одобренных правительством криптографических алгоритмов, режимов и библиотек. Это означает полагаться на установленные и широко принятые криптографические стандарты и реализации, а не создавать собственные методы шифрования.

Кастомная криптография - это практика разработки и реализации криптографических алгоритмов, режимов или библиотек специально для конкретной системы или приложения. Однако разработка безопасной и надежной криптографии требует глубоких знаний, тщательного анализа и всестороннего тестирования. Трудно достичь такого же уровня надежности и безопасности, как проверенные отраслью или одобренные правительством решения, которые прошли тщательную проверку и оценку экспертов.

Remediation:

1. Choose Industry-Proven Algorithms and Modes

Выберите криптографические алгоритмы и режимы, которые были широко признаны и приняты в отрасли. Общие примеры включают Advanced Encryption Standard (AES) для симметричного шифрования, Secure Hash Algorithm (SHA) для хэширования и Rivest-Shamir-Adleman (RSA) для асимметричного шифрования. Эти алгоритмы прошли всесторонний анализ, выдержали испытание временем и считаются надежными. Используйте известные и хорошо зарекомендовавшие себя криптографические библиотеки, которые обеспечивают реализацию этих алгоритмов.

2. Refer to Government-Approved Standards

Правительства и регулирующие органы часто определяют и утверждают криптографические стандарты, которые отвечают конкретным требованиям безопасности. В качестве примера можно привести Федеральные стандарты обработки информации (FIPS) в США или Регламент eIDAS Европейского союза. Обратитесь к этим стандартам, чтобы определить криптографические алгоритмы, режимы и библиотеки, одобренные авторитетными органами и прошедшие тщательную оценку.

3. Utilize Reputable Cryptographic Libraries

Вместо того чтобы реализовывать криптографию с нуля, используйте авторитетные и широко используемые криптографические библиотеки, которые предоставляют хорошо протестированные и проверенные реализации проверенных алгоритмов. Примерами таких библиотек являются OpenSSL, Bouncy Castle, Libsodium или криптографические модули, предоставляемые такими программными платформами, как .NET Cryptography API или Java Cryptography Architecture.

Additional:

CWE - CWE-327: Использование сломанного или рискованного криптографического алгоритма (4.10) (mitre.org)