Key Management: Hardcoded Encryption Key

Chaves de criptografia embutidas em código podem comprometer a segurança de uma maneira que não é fácil de remediar.

Nunca é uma boa ideia inserir uma chave de criptografia em código fixo, pois isso permite que todos os desenvolvedores do projeto a visualizem, além de também dificultar extremamente a correção do problema. Depois que o código está em produção, é necessário um pacote de software para alterar a chave de criptografia. Se a conta protegida pela chave de criptografia for comprometida, os proprietários do sistema deverão escolher entre a segurança e a disponibilidade.

Exemplo 1: O seguinte código usa uma chave de criptografia inserida em código fixo:

...
encryptionKey = "lakdsljkalkjlksdfkl".
...

Qualquer pessoa com acesso ao código tem acesso à chave de criptografia. Depois que o aplicativo for distribuído, não será mais possível alterar a chave de criptografia, a não ser que um patch seja aplicado a esse programa. Um funcionário com acesso a essas informações pode usá-las para invadir o sistema. Se os invasores tivessem acesso ao executável do aplicativo, eles poderiam extrair o valor da chave de criptografia.

Chaves de criptografia embutidas em código podem comprometer a segurança de uma maneira que não é fácil de remediar.

Nunca é uma boa ideia inserir uma chave de criptografia em código fixo, pois isso permite que todos os desenvolvedores do projeto a visualizem, além de também dificultar extremamente a correção do problema. Depois que o código está em produção, é necessário um pacote de software para alterar a chave de criptografia. Se a conta protegida pela chave de criptografia for comprometida, os proprietários do sistema deverão escolher entre a segurança e a disponibilidade.

Exemplo 1: O seguinte código usa uma chave de criptografia inserida em código fixo:

    ...
    var encryptionKey:String = "lakdsljkalkjlksdfkl";
    var key:ByteArray = Hex.toArray(Hex.fromString(encryptionKey));
    ...
    var aes.ICipher = Crypto.getCipher("aes-cbc", key, padding);
    ...

Qualquer pessoa com acesso ao código tem acesso à chave de criptografia. Depois que o aplicativo for distribuído, não será mais possível alterar a chave de criptografia, a não ser que um patch seja aplicado a esse programa. Um funcionário com acesso a essas informações pode usá-las para invadir o sistema. Se os invasores tivessem acesso ao executável do aplicativo, eles poderiam extrair o valor da chave de criptografia.

Chaves de criptografia embutidas em código podem comprometer a segurança de uma maneira que não é fácil de remediar.

Nunca codifique uma chave de criptografia porque isso torna a chave de criptografia visível para todos os desenvolvedores do projeto e torna a correção do problema extremamente difícil. Alterar a chave de criptografia após o código estar em produção requer uma correção do software. Se a conta que a chave de criptografia protege for comprometida, o proprietário do sistema deverá escolher entre a segurança e a disponibilidade do sistema.

Exemplo 1: O código a seguir realiza a criptografia AES usando uma chave de criptografia em código fixo:

...
Blob encKey = Blob.valueOf('YELLOW_SUBMARINE');
Blob encrypted = Crypto.encrypt('AES128', encKey, iv, input);
...

Qualquer pessoa com acesso ao código pode ver a chave de criptografia. Depois que o aplicativo for distribuído, não será mais possível alterar a chave de criptografia sem um patch de software. Um funcionário com acesso a essas informações pode usá-las para invadir o sistema. Qualquer invasor com acesso ao executável do aplicativo pode extrair o valor da chave de criptografia.

Chaves de criptografia embutidas em código podem comprometer a segurança de uma maneira que não é fácil de remediar.

Nunca é uma boa ideia inserir uma chave de criptografia em código fixo, pois isso permite que todos os desenvolvedores do projeto a visualizem, além de também dificultar extremamente a correção do problema. Depois que o código está em produção, é necessário um pacote de software para alterar a chave de criptografia. Se a conta protegida pela chave de criptografia for comprometida, os proprietários do sistema deverão escolher entre a segurança e a disponibilidade.

Exemplo 1: O seguinte código usa uma chave de criptografia inserida em código fixo:

...
using (SymmetricAlgorithm algorithm = SymmetricAlgorithm.Create("AES"))
{
  string encryptionKey = "lakdsljkalkjlksdfkl";
  byte[] keyBytes = Encoding.ASCII.GetBytes(encryptionKey);
  algorithm.Key = keyBytes;
  ...
}

Qualquer pessoa com acesso ao código tem acesso à chave de criptografia. Depois que o aplicativo for distribuído, não será mais possível alterar a chave de criptografia, a não ser que um patch seja aplicado a esse programa. Um funcionário com acesso a essas informações pode usá-las para invadir o sistema. Se os invasores tivessem acesso ao executável do aplicativo, eles poderiam extrair o valor da chave de criptografia.

Chaves de criptografia embutidas em código podem comprometer a segurança de uma maneira que não é fácil de remediar.

Nunca é uma boa ideia inserir uma chave de criptografia em código fixo. Não apenas a codificação fixa de uma chave de criptografia permite que todos os desenvolvedores do projeto visualizem a chave de criptografia, como também torna a correção do problema extremamente difícil. Depois que o código está em produção, é necessário um pacote de software para alterar a chave de criptografia. Se a conta protegida pela chave de criptografia for comprometida, os proprietários do sistema deverão escolher entre a segurança e a disponibilidade.

Exemplo: O seguinte código usa uma chave de criptografia inserida em código fixo:

...
char encryptionKey[] = "lakdsljkalkjlksdfkl";
...

Qualquer pessoa com acesso ao código tem acesso à chave de criptografia. Depois que o programa for distribuído, não será mais possível alterar a chave de criptografia, a não ser que um patch seja aplicado a esse programa. Um funcionário com acesso a essas informações pode usá-las para invadir o sistema. Se os invasores tiverem acesso ao executável do aplicativo, eles poderão desmontar o código, que conterá o valor da chave de criptografia utilizada.

Chaves de criptografia embutidas em código podem comprometer a segurança de uma maneira que não é fácil de remediar.

Nunca é uma boa ideia inserir uma chave de criptografia em código fixo, pois isso permite que todos os desenvolvedores do projeto a visualizem, além de também dificultar extremamente a correção do problema. Depois que o código está em produção, é necessário um pacote de software para alterar a chave de criptografia. Se a conta protegida pela chave de criptografia for comprometida, os proprietários do sistema deverão escolher entre a segurança e a disponibilidade.

Exemplo 1: O seguinte código usa uma chave de criptografia inserida em código fixo:

	...
	<cfset encryptionKey = "lakdsljkalkjlksdfkl" />
	<cfset encryptedMsg = encrypt(msg, encryptionKey, 'AES', 'Hex') />
	...

Qualquer pessoa com acesso ao código tem acesso à chave de criptografia. Depois que o aplicativo for distribuído, não será mais possível alterar a chave de criptografia, a não ser que um patch seja aplicado a esse programa. Um funcionário com acesso a essas informações pode usá-las para invadir o sistema. Se os invasores tivessem acesso ao executável do aplicativo, eles poderiam extrair o valor da chave de criptografia.

Chaves de criptografia embutidas em código podem comprometer a segurança de uma maneira que não é fácil de remediar.

Nunca é uma boa ideia embutir em código uma chave de criptografia, pois todos os desenvolvedores do projeto podem exibi-la, e a correção do problema é extremamente difícil. Depois que o código está em produção, a alteração da chave de criptografia requer um patch de software. Se a conta protegida pela chave de criptografia for comprometida, os proprietários do sistema deverão escolher entre a segurança e a disponibilidade.

Exemplo 1: O seguinte código usa uma chave de criptografia inserida em código fixo:

...
key := []byte("lakdsljkalkjlksd");
block, err := aes.NewCipher(key)
...

Qualquer pessoa com acesso ao código tem acesso à chave de criptografia. Depois que o aplicativo for distribuído, não será mais possível alterar a chave de criptografia, a não ser que um patch seja aplicado ao programa. Um funcionário com acesso a essas informações pode usá-las para invadir o sistema. Se os invasores tiverem acesso ao executável do aplicativo, poderão extrair o valor da chave de criptografia.

Chaves de criptografia embutidas em código podem comprometer a segurança de uma maneira que não é fácil de remediar.

Nunca é uma boa ideia inserir uma chave de criptografia em código fixo, pois isso permite que todos os desenvolvedores do projeto a visualizem, além de também dificultar extremamente a correção do problema. Depois que o código está em produção, é necessário um pacote de software para alterar a chave de criptografia. Se a conta protegida pela chave de criptografia for comprometida, os proprietários do sistema deverão escolher entre a segurança e a disponibilidade.

Exemplo 1: O seguinte código usa uma chave de criptografia inserida em código fixo:

...
var crypto = require('crypto');
var encryptionKey = "lakdsljkalkjlksdfkl";
var algorithm = 'aes-256-ctr';
var cipher = crypto.createCipher(algorithm, encryptionKey);
...

Qualquer pessoa com acesso ao código tem acesso à chave de criptografia. Depois que o aplicativo for distribuído, não será mais possível alterar a chave de criptografia, a não ser que um patch seja aplicado a esse programa. Um funcionário com acesso a essas informações pode usá-las para invadir o sistema. Se os invasores tivessem acesso ao executável do aplicativo, eles poderiam extrair o valor da chave de criptografia.

Senhas com codificação rígida podem comprometer a segurança do sistema de uma maneira difícil de remediar.

Jamais use codificação rígida para senhas. Além de expor a senha a todos os desenvolvedores do projeto, isso dificulta consideravelmente a correção do problema. Quando o código estiver em produção, um patch provavelmente será a única forma de alterar a senha. Se a conta que a senha protege for comprometida, os proprietários do sistema deverão escolher entre segurança e disponibilidade.
Exemplo: O seguinte JSON usa uma senha com codificação rígida:

...
{
  "username":"scott"
  "password":"tiger"
}
...

Essa configuração pode ser válida, mas qualquer usuário que tiver acesso a ela também terá acesso à senha. Depois de o programa ser publicado, alterar a senha “tiger” da conta do usuário “scott” será difícil. Qualquer pessoa que tenha acesso a essa informação poderá usá-la para invadir o sistema.

Chaves de criptografia embutidas em código podem comprometer a segurança de uma maneira que não é fácil de remediar.

Nunca é uma boa ideia inserir uma chave de criptografia em código fixo, pois isso permite que todos os desenvolvedores do projeto a visualizem, além de também dificultar extremamente a correção do problema. Depois que o código está em produção, é necessário um pacote de software para alterar a chave de criptografia. Se a conta protegida pela chave de criptografia for comprometida, os proprietários do sistema deverão escolher entre a segurança e a disponibilidade.

Exemplo 1: O seguinte código usa uma chave de criptografia inserida em código fixo:

...
NSString encryptionKey = "lakdsljkalkjlksdfkl";
...

Qualquer pessoa com acesso ao código tem acesso à chave de criptografia. Depois que o aplicativo for distribuído, não será mais possível alterar a chave de criptografia, a não ser que um patch seja aplicado a esse programa. Um funcionário com acesso a essas informações pode usá-las para invadir o sistema. Se os invasores tivessem acesso ao executável do aplicativo, eles poderiam extrair o valor da chave de criptografia.

Chaves de criptografia HMAC embutidas em código podem comprometer a segurança do sistema de uma maneira difícil de remediar.

Nunca é uma boa ideia inserir uma chave de criptografia em código fixo. Não apenas a codificação fixa de uma chave de criptografia permite que todos os desenvolvedores do projeto visualizem a chave de criptografia, como também torna a correção do problema extremamente difícil. Depois que o código está em produção, é necessário um pacote de software para alterar a chave de criptografia. Se a conta protegida pela chave de criptografia for comprometida, os proprietários do sistema deverão escolher entre a segurança e a disponibilidade.
Exemplo: O código a seguir usa uma chave de criptografia de disco rígido inserida no código para criptografar informações:

...
$encryption_key = 'hardcoded_encryption_key';

//$filter = new Zend_Filter_Encrypt('hardcoded_encryption_key');
$filter = new Zend_Filter_Encrypt($encryption_key);

$filter->setVector('myIV');

$encrypted = $filter->filter('text_to_be_encrypted');
print $encrypted;
...

Esse código será executado com êxito, mas qualquer pessoa que tenha acesso a ele terá acesso à chave de criptografia. Após a distribuição do programa, provavelmente não há como alterar a chave de criptografia inserida em código fixo ('hardcoded_encryption_key'), a não ser que um patch seja aplicado ao programa. Um funcionário desonesto com acesso a essas informações pode usá-las para comprometer dados criptografados pelo sistema.

Chaves de criptografia embutidas em código podem comprometer a segurança de uma maneira que não é fácil de remediar.

Nunca é uma boa ideia inserir uma chave de criptografia em código fixo, pois isso permite que todos os desenvolvedores do projeto a visualizem, além de também dificultar extremamente a correção do problema. Depois que o código está em produção, é necessário um pacote de software para alterar a chave de criptografia. Se a conta protegida pela chave de criptografia for comprometida, os proprietários do sistema deverão escolher entre a segurança e a disponibilidade.



Qualquer pessoa com acesso ao código tem acesso à chave de criptografia. Depois que o aplicativo for distribuído, não será mais possível alterar a chave de criptografia, a não ser que um patch seja aplicado a esse programa. Um funcionário com acesso a essas informações pode usá-las para invadir o sistema. Se os invasores tivessem acesso ao executável do aplicativo, eles poderiam extrair o valor da chave de criptografia.

Chaves de criptografia HMAC embutidas em código podem comprometer a segurança do sistema de uma maneira difícil de remediar.

Nunca é uma boa ideia inserir uma chave de criptografia em código fixo. Não apenas a codificação fixa de uma chave de criptografia permite que todos os desenvolvedores do projeto visualizem a chave de criptografia, como também torna a correção do problema extremamente difícil. Depois que o código está em produção, é necessário um pacote de software para alterar a chave de criptografia. Se a conta protegida pela chave de criptografia for comprometida, os proprietários do sistema deverão escolher entre a segurança e a disponibilidade.
Exemplo: O código a seguir usa uma chave de criptografia de disco rígido inserida no código para criptografar informações:

...
from Crypto.Ciphers import AES
encryption_key = b'_hardcoded__key_'
cipher = AES.new(encryption_key, AES.MODE_CFB, iv)
msg = iv + cipher.encrypt(b'Attack at dawn')
...

Esse código será executado com êxito, mas qualquer pessoa que tenha acesso a ele terá acesso à chave de criptografia. Após a distribuição do programa, provavelmente não há como alterar a chave de criptografia inserida em código fixo _hardcoded__key_, a não ser que um patch seja aplicado ao programa. Um funcionário desonesto com acesso a essas informações pode usá-las para comprometer dados criptografados pelo sistema.

Chaves de criptografia HMAC embutidas em código podem comprometer a segurança do sistema de uma maneira difícil de remediar.

Nunca é uma boa ideia inserir uma chave de criptografia em código fixo. Não apenas a codificação fixa de uma chave de criptografia permite que todos os desenvolvedores do projeto visualizem a chave de criptografia, como também torna a correção do problema extremamente difícil. Depois que o código está em produção, é necessário um pacote de software para alterar a chave de criptografia. Se a conta protegida pela chave de criptografia for comprometida, os proprietários do sistema deverão escolher entre a segurança e a disponibilidade.
Exemplo 1: O seguinte código usa uma chave de criptografia inserida em código fixo:

require 'openssl'
...
encryption_key = 'hardcoded_encryption_key'
...
cipher = OpenSSL::Cipher::AES.new(256, 'GCM')
cipher.encrypt
...
cipher.key=encryption_key
...

Esse código será executado com êxito, mas qualquer pessoa que tenha acesso a ele terá acesso à chave de criptografia. Depois que o programa é distribuído, provavelmente não há como alterar a chave de criptografia inserida em código fixo "hardcoded_encryption_key", a não ser que um patch seja aplicado ao programa. Um funcionário desonesto com acesso a essas informações pode usá-las para comprometer dados criptografados pelo sistema.

Chaves de criptografia embutidas em código podem comprometer a segurança de uma maneira que não é fácil de remediar.

Nunca é uma boa ideia inserir uma chave de criptografia em código fixo. Não apenas a codificação fixa de uma chave de criptografia permite que todos os desenvolvedores do projeto visualizem a chave de criptografia, como também torna a correção do problema extremamente difícil. Depois que o código está em produção, é necessário um pacote de software para alterar a chave de criptografia. Se a conta protegida pela chave de criptografia for comprometida, os proprietários do sistema deverão escolher entre a segurança e a disponibilidade.

Exemplo 1: O seguinte código usa uma chave de criptografia inserida em código fixo:

...
let encryptionKey = "YELLOW_SUBMARINE"
...

Exemplo 2: O código a seguir realiza a criptografia AES usando uma chave de criptografia em código fixo:

...
CCCrypt(UInt32(kCCEncrypt),
UInt32(kCCAlgorithmAES128),
UInt32(kCCOptionPKCS7Padding),
"YELLOW_SUBMARINE",
16,
iv,
plaintext,
plaintext.length,
ciphertext.mutableBytes,
ciphertext.length,
&numBytesEncrypted)
...

Qualquer pessoa com acesso ao código tem acesso à chave de criptografia. Depois que o programa for distribuído, não será mais possível alterar a chave de criptografia, a não ser que um patch seja aplicado a esse programa. Um funcionário com acesso a essas informações pode usá-las para invadir o sistema. Se os invasores tivessem acesso ao executável do aplicativo, eles poderiam extrair o valor da chave de criptografia.

Chaves de criptografia embutidas em código podem comprometer a segurança de uma maneira que não é fácil de remediar.

Nunca codifique uma chave de criptografia porque isso torna a chave de criptografia visível para todos os desenvolvedores do projeto e torna a correção do problema extremamente difícil. Alterar a chave de criptografia após o código estar em produção requer uma correção do software. Se a conta que a chave de criptografia protege for comprometida, o proprietário do sistema deverá escolher entre a segurança e a disponibilidade do sistema.

Exemplo 1: O exemplo a seguir mostra uma chave de criptografia em um arquivo .pem:

...
-----BEGIN RSA PRIVATE KEY-----
MIICXwIBAAKBgQCtVacMo+w+TFOm0p8MlBWvwXtVRpF28V+o0RNPx5x/1TJTlKEl
...
DiJPJY2LNBQ7jS685mb6650JdvH8uQl6oeJ/aUmq63o2zOw=
-----END RSA PRIVATE KEY-----
...

Qualquer pessoa com acesso ao código pode ver a chave de criptografia. Depois que o aplicativo for distribuído, não será mais possível alterar a chave de criptografia, a não ser que um patch seja aplicado ao programa. Um funcionário com acesso a essas informações pode usá-las para invadir o sistema. Qualquer invasor com acesso ao executável do aplicativo pode extrair o valor da chave de criptografia.

Chaves de criptografia embutidas em código podem comprometer a segurança de uma maneira que não é fácil de remediar.

Nunca é uma boa ideia inserir uma chave de criptografia em código fixo, pois isso permite que todos os desenvolvedores do projeto a visualizem, além de também dificultar extremamente a correção do problema. Depois que o código está em produção, é necessário um pacote de software para alterar a chave de criptografia. Se a conta protegida pela chave de criptografia for comprometida, os proprietários do sistema deverão escolher entre a segurança e a disponibilidade.

Exemplo 1: O seguinte código usa uma chave de criptografia inserida em código fixo:

...
Dim encryptionKey As String
Set encryptionKey = "lakdsljkalkjlksdfkl"
Dim AES As New System.Security.Cryptography.RijndaelManaged
On Error GoTo ErrorHandler
  AES.Key = System.Text.Encoding.ASCII.GetBytes(encryptionKey)
  ...
Exit Sub
...

Qualquer pessoa com acesso ao código tem acesso à chave de criptografia. Depois que o aplicativo for distribuído, não será mais possível alterar a chave de criptografia, a não ser que um patch seja aplicado a esse programa. Um funcionário com acesso a essas informações pode usá-las para invadir o sistema. Se os invasores tivessem acesso ao executável do aplicativo, eles poderiam extrair o valor da chave de criptografia.

Chaves de criptografia embutidas em código podem comprometer a segurança de uma maneira que não é fácil de remediar.

Nunca codifique uma chave de criptografia porque isso torna a chave de criptografia visível para todos os desenvolvedores do projeto e torna a correção do problema extremamente difícil. Alterar a chave de criptografia após o código estar em produção requer uma correção do software. Se a conta que a chave de criptografia protege for comprometida, o proprietário do sistema deverá escolher entre a segurança e a disponibilidade do sistema.

Exemplo 1: O exemplo a seguir mostra uma chave de criptografia dentro do arquivo secrets.yml de uma configuração do Ruby on Rails:

...
production:
  secret_key_base: 0ab25e26286c4fb9f7335947994d83f19861354f19702b7bbb84e85310b287ba3cdc348f1f19c8cdc08a7c6c5ad2c20ad31ecda177d2c74aa2d48ec4a346c40e
...

Qualquer pessoa com acesso ao código pode ver a chave de criptografia. Depois que o aplicativo for distribuído, não será mais possível alterar a chave de criptografia, a não ser que um patch seja aplicado ao programa. Um funcionário com acesso a essas informações pode usá-las para invadir o sistema. Qualquer invasor com acesso ao executável do aplicativo pode extrair o valor da chave de criptografia.