V6.2.3 Algorithms

Requirement:#

Verify that encryption initialization vector, cipher configuration, and block modes are configured securely using the latest advice.

Explanation:#

Требование заключается в проверке того, что векторы инициализации шифрования (IVs), конфигурации шифров и режимы блоков надежно настроены в соответствии с последними лучшими практиками и рекомендациями. Это гарантирует, что операции шифрования выполняются с надежными и подходящими настройками.

Remediation:#

Encryption Initialization Vector (IV)#

IV - это случайное значение, используемое для обеспечения уникальности и непредсказуемости при шифровании. Очень важно генерировать безопасный IV для каждой операции шифрования. Вот пример с использованием библиотеки криптографии в Python:

An example using the cryptography library in Python

from cryptography.hazmat.primitives.ciphers import Cipher, algorithms, modes
from cryptography.hazmat.primitives import hashes
from cryptography.hazmat.primitives.kdf.pbkdf2 import PBKDF2HMAC
from cryptography.hazmat.backends import default_backend

def generate_iv():
    iv_length = algorithms.AES.block_size // 8  # IV size should match the cipher's block size
    return secrets.token_bytes(iv_length)

# Example usage
iv = generate_iv()

Генерируя случайный IV с помощью безопасного метода, такого как функция token_bytes(), вы можете гарантировать его соответствие актуальным рекомендациям.

Cipher Configuration#

Конфигурация шифра включает в себя выбор алгоритма, длину ключа и любые необходимые параметры. Важно использовать современные, безопасные алгоритмы шифрования и соответствующую длину ключа. Вот пример использования библиотеки криптографии для настройки шифра:

Using 'cryptography' library to configure the cipher:

from cryptography.hazmat.primitives.ciphers import Cipher, algorithms, modes
from cryptography.hazmat.primitives import hashes

def configure_cipher(key):
    cipher_algo = algorithms.AES
    key_length = 256  # Key length in bits
    if key_length not in cipher_algo.key_sizes:
        raise ValueError("Invalid key length for chosen cipher algorithm")

    # Verify key length compliance with latest advice
    if key_length < 128:
        raise ValueError("Key length is too short. Use a longer key for security.")

    cipher = Cipher(cipher_algo(key), modes.CBC())
    return cipher

# Example usage
key = generate_random_bytes(32)
cipher = configure_cipher(key)

Проверяя правильность выбранного алгоритма шифрования и обеспечивая соответствие длины ключа актуальным рекомендациям, вы можете повысить безопасность шифрования.

Block Modes#

Block Modes определяют, как алгоритм шифрования обрабатывает данные, превышающие размер блока. Важно выбрать безопасные режимы блоков, которые обеспечивают конфиденциальность, целостность и устойчивость к известным атакам. Вот пример использования библиотеки для настройки режима блока:

An example using the cryptography library to configure the block mode

from cryptography.hazmat.primitives.ciphers import Cipher, algorithms, modes

def configure_block_mode(cipher):
    block_mode = modes.GCM(nonce=generate_iv())
    if not cipher.algorithm.supports_block_mode(block_mode):
        raise ValueError("Invalid block mode for chosen cipher algorithm")

    return block_mode

# Example usage
block_mode = configure_block_mode(cipher)

Проверив, что выбранный Block Mode поддерживается выбранным алгоритмом шифрования, вы можете убедиться, что шифрование выполняется с безопасной конфигурацией.

Additional:#

CWE - CWE-326: Недостаточная надежность шифрования (4.10) (mitre.org)