界: Security Features

ソフトウェアのセキュリティは、セキュリティソフトウェアではありません。ここでは、認証、アクセス制御、機密性、暗号化、権限管理などのトピックについて説明します。

Weak Cryptographic Hash

Abstract

暗号化ハッシュが貧弱であるとデータの完全性は保証されません。また、そのような暗号化ハッシュはセキュリティが重要な場面で使用すべきではありません。

Explanation

MD2、MD4、MD5、RIPEMD-160 および SHA-1 は一般的な暗号化ハッシュアルゴリズムで、メッセージを始めとするデータの完全性を検証するのにしばしば使用されます。ただし、最近の暗号解読の研究によりこれらのアルゴリズムでの基本的な脆弱性が判明していることから、これらをセキュリティが重要な場面で使用しないでください。

MD および RIPEMD ハッシュの解読に有効な技術が一般的に入手可能なことから、セキュリティのためにこれらのアルゴリズムに頼るべきではありません。一方、現在の SHA-1 の技術を突破するには依然としてかなりのコンピュータ処理能力を要し、実装も容易ではありません。しかし、攻撃者は SHA-1 アルゴリズムの弱点をすでに発見しており、解読する技術をもとにして迅速に実行可能な攻撃が今後編み出される可能性があります。

References

[1] Xiaoyun Wang MD5 and MD4 Collision Generators

[2] Xiaoyun Wang, Yiqun Lisa Yin, and Hongbo Yu Finding Collisions in the Full SHA-1

[3] Xiaoyun Wang and Hongbo Yu How to Break MD5 and Other Hash Functions

[4] SDL Development Practices Microsoft

[5] Standards Mapping - Common Weakness Enumeration CWE ID 328

[6] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-002450

[7] Standards Mapping - FIPS200 MP

[8] Standards Mapping - General Data Protection Regulation (GDPR) Insufficient Data Protection

[9] Standards Mapping - NIST Special Publication 800-53 Revision 4 AU-10 Non-Repudiation (P2), SC-13 Cryptographic Protection (P1)

[10] Standards Mapping - NIST Special Publication 800-53 Revision 5 AU-10 Non-Repudiation, SC-13 Cryptographic Protection

[11] Standards Mapping - OWASP Application Security Verification Standard 4.0 2.4.1 Credential Storage Requirements (L2 L3), 2.4.2 Credential Storage Requirements (L2 L3), 2.4.5 Credential Storage Requirements (L2 L3), 2.6.3 Look-up Secret Verifier Requirements (L2 L3), 2.8.3 Single or Multi Factor One Time Verifier Requirements (L2 L3), 2.9.3 Cryptographic Software and Devices Verifier Requirements (L2 L3), 6.2.1 Algorithms (L1 L2 L3), 6.2.2 Algorithms (L2 L3), 6.2.3 Algorithms (L2 L3), 6.2.4 Algorithms (L2 L3), 6.2.5 Algorithms (L2 L3), 6.2.6 Algorithms (L2 L3), 6.2.7 Algorithms (L3), 8.3.7 Sensitive Private Data (L2 L3), 9.1.2 Communications Security Requirements (L1 L2 L3), 9.1.3 Communications Security Requirements (L1 L2 L3)

[12] Standards Mapping - OWASP Mobile 2014 M6 Broken Cryptography

[13] Standards Mapping - OWASP Mobile 2024 M10 Insufficient Cryptography

[14] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-CRYPTO-1

[15] Standards Mapping - OWASP Top 10 2004 A8 Insecure Storage

[16] Standards Mapping - OWASP Top 10 2007 A8 Insecure Cryptographic Storage

[17] Standards Mapping - OWASP Top 10 2010 A7 Insecure Cryptographic Storage

[18] Standards Mapping - OWASP Top 10 2013 A6 Sensitive Data Exposure

[19] Standards Mapping - OWASP Top 10 2017 A3 Sensitive Data Exposure

[20] Standards Mapping - OWASP Top 10 2021 A02 Cryptographic Failures

[21] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.8

[22] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.3.1.3, Requirement 6.5.8

[23] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 6.5.3

[24] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.3

[25] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.3, Requirement 4.1

[26] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.3, Requirement 4.1

[27] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.3, Requirement 4.1

[28] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4, Requirement 4.2.1

[29] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4, Requirement 4.2.1

[30] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 7.1 - Use of Cryptography, Control Objective 7.4 - Use of Cryptography

[31] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 7.1 - Use of Cryptography, Control Objective 7.4 - Use of Cryptography, Control Objective B.2.3 - Terminal Software Design

[32] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 7.1 - Use of Cryptography, Control Objective 7.4 - Use of Cryptography, Control Objective B.2.3 - Terminal Software Design

[33] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3150.1 CAT II

[34] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3150.1 CAT II

[35] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3150.1 CAT II

[36] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3150.1 CAT II

[37] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3150.1 CAT II

[38] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3150.1 CAT II

[39] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3150.1 CAT II

[40] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

[41] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

[42] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

[43] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

[44] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

[45] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

[46] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

[47] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

[48] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

[49] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

[50] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

[51] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

[52] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

[53] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-000590 CAT II, APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

[54] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-000590 CAT II, APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002030 CAT II

desc.semantic.abap.weak_cryptographic_hash

Abstract

弱い暗号学的ハッシュではデータの整合性を保証できないため、セキュリティが重要なコンテキストでは使用しないでください。

Explanation

MD2、MD4、MD5、RIPEMD-160 および SHA-1 は一般的な暗号化ハッシュアルゴリズムで、メッセージを始めとするデータの完全性を検証するのにしばしば使用されます。暗号解読の研究によりこれらのアルゴリズムでの基本的な脆弱性が判明していることから、これらをセキュリティが重要な場面で使用することは推奨されません。

セキュリティを考慮する場合は MD および RIPEMD ハッシュアルゴリズムに頼らないでください。MD および RIPEMD ハッシュの解読に有効な技術が一般的に入手可能です。一方、現在の SHA-1 の技術を突破するには依然としてかなりのコンピュータ処理能力を要し、実装も容易ではありません。しかし、攻撃者はこのアルゴリズムの弱点をすでに発見しており、解読する技術をもとにして迅速に実行可能な攻撃が今後編み出される可能性があります。