SV.WEAK.KEYS.DSA

暗号化アルゴリズムでの不十分なキーの長さ

Klocwork は、DSA 暗号化アルゴリズムが不十分なサイズのキーで使用されるときに、SV.WEAK.KEYS.DSA 欠陥を報告します。

脆弱性とリスク

キーのサイズが小さいと、アルゴリズムの破損につながる可能性があり、それにより、機密データの漏洩を引き起こす可能性があります。アルゴリズムは、ブルートフォース攻撃を行うために使用される、強力なコンピューティング技術に対して堅牢である必要があります。

軽減と防止

2048 ビット未満のキーで、DSA アルゴリズムを実装することは避けてください。

脆弱コード例

コピー
import java.security.KeyPairGenerator;
 
class KeyGenDSATest {
  public static void main(String[] args) {
    KeyPairGenerator generatorDSA = KeyPairGenerator.getInstance("DSA");
    generatorDSA.initialize(1024);  // SV.WEAK.KEYS.DSA (!)
  }
}

Klocwork は、6 行目で「暗号化アルゴリズムは 2048 ビット未満のキーを使用しています」という、SV.WEAK.KEYS.DSA 欠陥を報告します。DSA アルゴリズムには、2048 ビット以上のキーが必要です。

修正コード例

コピー
import java.security.KeyPairGenerator;
 
class KeyGenDSATest {
  public static void main(String[] args) {
    KeyPairGenerator generatorDSA = KeyPairGenerator.getInstance("DSA");
    generatorDSA.initialize(2048);  // no SV.WEAK.KEYS.DSA
  }
}

DSA アルゴリズムは 2048 ビットのキーを使用するため、Klocwork は欠陥を報告しなくなります。

セキュリティトレーニング

Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。