HardcodedIVCNG (Zapytanie CodeQL dla sterownika systemu Windows)

Przegląd

Wektor inicjalizacji (IV) to dane wejściowe prymitywu kryptograficznego używanego do zapewnienia stanu początkowego. IV jest zazwyczaj wymagany, aby był losowy lub pseudolosowy (schemat losowy), ale czasami IV musi być nieprzewidywalny lub unikatowy (schemat stanowy).

Losowość ma kluczowe znaczenie dla niektórych schematów szyfrowania w celu osiągnięcia zabezpieczeń semantycznych, czyli właściwości, w której powtarzające się użycie schematu w ramach tego samego klucza nie zezwala atakującemu na wnioskowanie relacji między (potencjalnie podobnymi) segmentami zaszyfrowanego komunikatu.

Rekomendacja

Wszystkie symetryczne szyfry blokowe muszą być również używane z odpowiednim wektorem inicjalizacji (IV) zgodnie z używanym trybem operacji.

W przypadku korzystania ze schematu losowego, takiego jak CBC, zaleca się użycie kryptograficznie bezpiecznego generatora numerów pseudorandom, takiego jak BCryptGenRandom.

Dodatkowe szczegóły

To zapytanie można znaleźć w repozytorium Microsoft GitHub CodeQL. Zobacz stronę CodeQL i Static Tools Logo Test, aby uzyskać szczegółowe informacje na temat pobierania i uruchamiania CodeQL przez programistów sterowników systemu Windows.

Dodatkowe odwołania:

• BCryptEncrypt, funkcja (bcrypt.h)
• BCryptGenRandom, funkcja (bcrypt.h)
• Wektor inicjowania (Wikipedia)