CXX.SV.PRIVATE_KEY.EMPTY_PASSWD

尝试以未经授权的方式序列化私钥

当使用空密码通过基于公钥基础设施 (PKI) 的身份验证方法存储私钥，并可能导致未经授权的访问时，Klocwork 会报告 CXX.SV.PRIVATE_KEY.EMPTY_PASSWD 缺陷。

漏洞与风险

如果私钥被盗，可能会危及通过 PKI 进行的身份验证，因为攻击者可以使用私钥对文档进行数字签名，并冒充授权用户。

缓解与预防

我们建议使用加密技术，如密码或非空密码。

漏洞代码示例

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
#include <QOpcUaProvider>
#include <QOpcUaKeyPair>
#include <QFile>
int main()
{
    // Generate RSA Key
    QOpcUaKeyPair key;
    key.generateRsaKey(QOpcUaKeyPair::RsaKeyStrength::Bits1024);

    // Save private key to file
    QByteArray keyData = key.privateKeyToByteArray(QOpcUaKeyPair::Cipher::Aes128Cbc, "");

    QFile keyFile("privateKey.pem");
    keyFile.open(QFile::WriteOnly);
    keyFile.write(keyData);
    keyFile.close();
  }

Klocwork 在第 11 行报告 CXX.SV.PRIVATE_KEY.EMPTY_PASSWD 缺陷，指出“尝试以未经授权的方式序列化私钥。请考虑使用非空密码进行加密。”QOpcUaKeyPair::privateKeyToByteArray 方法中传递了空密码，这意味着私钥使用空密码进行存储，容易遭到未经授权的访问。

修正代码示例

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
#include <QOpcUaProvider>
#include <QOpcUaKeyPair>
#include <QFile>
int main()
{
    // Generate RSA Key
    QOpcUaKeyPair key;
    key.generateRsaKey(QOpcUaKeyPair::RsaKeyStrength::Bits1024);
    QByteArray keyData = key.privateKeyToByteArray(QOpcUaKeyPair::Cipher::Aes128Cbc, "K016w81");

    QFile keyFile("privateKey.pem");
    keyFile.open(QFile::WriteOnly);
    keyFile.write(keyData);
    keyFile.close();
  }

Klocwork 不再报告 CXX.SV.PRIVATE_KEY.EMPTY_PASSWD 缺陷，因为已针对私钥使用密码 K016w81 进行所需的加密。

相关检查器

• CXX.SV.PRIVATE_KEY.UNENCRYPTED

外部指导

• CWE-311：缺少敏感数据加密
• CWE-312：明文存储敏感信息
• CWE-522：保护不足的凭据
• DISA STIG 版本 4 和 5
• OWASP A2:2021 加密失败
• STIG-ID:V-222551 (APSC-DV-001820)：当使用基于 PKI 的身份验证时，应用程序必须强制对相应的私钥进行授权访问。

安全培训

应用程序安全培训材料由 Secure Code Warrior 提供。

• 敏感数据的纯文本存储培训视频 - 用培训示例来检验您的技能
• 未受到充分保护的凭据培训视频 - 用培训示例来检验您的技能

扩展

此检查器可通过 Klocwork 知识库进行扩展。有关详情，请参阅调整 C/C++ 分析和 PK.EMPTY_PWD.SINK 知识库。