软件安全不是安全软件。此处我们关注的主题包括身份验证、Access Control、机密性、加密和权限管理。
FLUSHALL 命令删除整个数据集。 最近,有报道称,在 Internet 上公开运行的不安全 Redis 实例遭到恶意攻击。 攻击者删除了数据库,并要求支付赎金才能恢复数据库。 <behaviorExtensions/> 元素会指示 WCF 向特定的 WCF 扩展添加自定义行为类。
<system.serviceModel>
<extensions>
<behaviorExtensions>
<add name="myBehavior" type="MyBehavior" />
</behaviorExtensions>
</extensions>
</system.serviceModel>
NSData *imageData = [NSData dataWithContentsOfFile:file];
CC_MD5(imageData, [imageData length], result);
let encodedText = text.cStringUsingEncoding(NSUTF8StringEncoding)
let textLength = CC_LONG(text.lengthOfBytesUsingEncoding(NSUTF8StringEncoding))
let digestLength = Int(CC_MD5_DIGEST_LENGTH)
let result = UnsafeMutablePointer<CUnsignedChar>.alloc(digestLength)
CC_MD5(encodedText, textLength, result)
...
private static final String salt = "";
...
PBEKeySpec pbeSpec=new PBEKeySpec(password);
SecretKeyFactory keyFact=SecretKeyFactory.getInstance(CIPHER_ALG);
PBEParameterSpec defParams=new PBEParameterSpec(salt,100000);
Cipher cipher=Cipher.getInstance(CIPHER_ALG);
cipher.init(cipherMode,keyFact.generateSecret(pbeSpec),defParams);
...
...
const salt = "";
crypto.pbkdf2(
password,
salt,
iterations,
keyLength,
"sha256",
function (err, derivedKey) { ... }
);
...
CCKeyDerivationPBKDF(kCCPBKDF2,
password,
passwordLen,
"",
0,
kCCPRFHmacAlgSHA256,
100000,
derivedKey,
derivedKeyLen);
...
...
$hash = hash_pbkdf2('sha256', $password, '', 100000);
...
from hashlib import pbkdf2_hmac
...
dk = pbkdf2_hmac('sha256', password, '', 100000)
...
...
dk = OpenSSL::PKCS5.pbkdf2_hmac(password, "", 100000, 256, digest)
...
...
let ITERATION = UInt32(100000)
...
CCKeyDerivationPBKDF(CCPBKDFAlgorithm(kCCPBKDF2),
password,
passwordLength,
"",
0,
CCPseudoRandomAlgorithm(kCCPRFHmacAlgSHA256),
ITERATION,
derivedKey,
derivedKeyLength)
...
define('SECURE_AUTH_SALT', "");
...
import hashlib, binascii
def register(request):
password = request.GET['password']
username = request.GET['username']
hash = hashlib.md5("%s:%s" % ("", password,)).hexdigest()
store(username, hash)
...
require 'openssl'
...
password = get_password()
hash = OpenSSL::Digest::SHA256.digest(password)
...
...
PKCS5_PBKDF2_HMAC(pass, strlen(pass), "2!@$(5#@532@%#$253l5#@$", 2, ITERATION, EVP_sha512(), outputBytes, digest);
...
...
private static final String salt = "2!@$(5#@532@%#$253l5#@$";
...
PBEKeySpec pbeSpec=new PBEKeySpec(password);
SecretKeyFactory keyFact=SecretKeyFactory.getInstance(CIPHER_ALG);
PBEParameterSpec defParams=new PBEParameterSpec(salt,100000);
Cipher cipher=Cipher.getInstance(CIPHER_ALG);
cipher.init(cipherMode,keyFact.generateSecret(pbeSpec),defParams);
...
...
const salt = "some constant value";
crypto.pbkdf2(
password,
salt,
iterations,
keyLength,
"sha256",
function (err, derivedKey) { ... }
);
...
CCKeyDerivationPBKDF(kCCPBKDF2,
password,
passwordLen,
"2!@$(5#@532@%#$253l5#@$",
2,
kCCPRFHmacAlgSHA256,
100000,
derivedKey,
derivedKeyLen);
...
...
$hash = hash_pbkdf2('sha256', $password, '2!@$(5#@532@%#$253l5#@$', 100000)
...
...
from hashlib import pbkdf2_hmac
dk = pbkdf2_hmac('sha256', password, '2!@$(5#@532@%#$253l5#@$', 100000)
...
...
dk = OpenSSL::PKCS5.pbkdf2_hmac(password, '2!@$(5#@532@%#$253l5#@$', 100000, 256, digest)
...
...
let ITERATION = UInt32(100000)
let salt = "2!@$(5#@532@%#$253l5#@$"
...
CCKeyDerivationPBKDF(CCPBKDFAlgorithm(kCCPBKDF2),
password,
passwordLength,
salt,
salt.lengthOfBytesUsingEncoding(NSUTF8StringEncoding),
CCPseudoRandomAlgorithm(kCCPRFHmacAlgSHA256),
ITERATION,
derivedKey,
derivedKeyLength)
...
...
crypt(password, "2!@$(5#@532@%#$253l5#@$");
...
...
salt := "2!@$(5#@532@%#$253l5#@$"
password := get_password()
sha256.Sum256([]byte(salt + password)
...
...
Encryptor instance = ESAPI.encryptor();
String hash1 = instance.hash(input, "2!@$(5#@532@%#$253l5#@$");
...
javap -c 命令访问已经过反汇编的代码,而在这些代码中恰恰包含着用户使用过的 salt 值。
...
crypt($password, '2!@$(5#@532@%#$253l5#@$');
...
...
from django.contrib.auth.hashers import make_password
make_password(password, salt="2!@$(5#@532@%#$253l5#@$")
...
require 'openssl'
...
password = get_password()
salt = '2!@$(5#@532@%#$253l5#@$'
hash = OpenSSL::Digest::SHA256.digest(salt + password)
...
...
Rfc2898DeriveBytes rdb8 = new Rfc2898DeriveBytes(password, salt,50);
...
...
#define ITERATION 50
...
PKCS5_PBKDF2_HMAC(pass, sizeof(pass), salt, sizeof(salt), ITERATION, EVP_sha512(), outputBytes, digest);
...
...
final int iterationCount=50;
PBEParameterSpec pbeps=new PBEParameterSpec(salt,iterationCount);
...
...
const iterations = 50;
crypto.pbkdf2(
password,
salt,
iterations,
keyLength,
"sha256",
function (err, derivedKey) { ... }
);
...
#define ITERATION 50
...
CCKeyDerivationPBKDF(kCCPBKDF2,
password,
passwordLen,
salt,
saltLen
kCCPRFHmacAlgSHA256,
ITERATION,
derivedKey,
derivedKeyLen);
...
...
$hash = hash_pbkdf2('sha256', $password, $salt, 50);
...
...
from hashlib import pbkdf2_hmac
dk = pbkdf2_hmac('sha256', password, salt, 50)
...
bcrypt_hash = bcrypt(b64pwd, 11)
bcrypt API 时,请务必注意的是,成本参数在确定底层散列过程的计算复杂性方面发挥着重要的作用。强烈建议将成本参数设置为至少 12 的值,以确保达到足够的安全级别。该值直接影响计算散列所需的时间,这使得潜在攻击者执行暴力或字典攻击的计算成本更高。
require 'openssl'
...
key = OpenSSL::PKCS5::pbkdf2_hmac(pass, salt, 50, 256, 'SHA256')
...
let ITERATION = UInt32(50)
...
CCKeyDerivationPBKDF(CCPBKDFAlgorithm(kCCPBKDF2),
password,
passwordLength,
saltBytes,
saltLength,
CCPseudoRandomAlgorithm(kCCPRFHmacAlgSHA256),
ITERATION,
derivedKey,
derivedKeyLength)
...
...
<param name="keyObtentionIterations" value="50"/>
...
CL_ABAP_HMAC->UPDATE 的调用,这将会导致创建不基于任何数据的散列:
...
DATA: obj TYPE REF TO cl_abap_hmac.
CALL METHOD cl_abap_hmac=>get_instance
EXPORTING
if_key = 'ABCDEFG123456789'
RECEIVING
ro_object = obj.
obj->final( ).
....
CryptCreateHash 的调用,这将会导致创建不基于任何数据的散列:
...
if(!CryptAcquireContext(&hCryptProv, NULL, MS_ENH_RSA_AES_PROV, PROV_RSA_AES, 0)) {
break;
}
if(!CryptHashData(hHash, (BYTE*)hashData, strlen(hashData), 0)) {
break;
}
...
MessageDigest.update() 的调用,这将会导致创建不基于任何数据的散列:
...
MessageDigest messageDigest = MessageDigest.getInstance("SHA-512");
io.writeLine(MyUtilClass.bytesToHex(messageDigest.digest()));
....
null (nil) salt 可能会削弱系统安全性,一旦出现安全问题将无法轻易修正。null (nil) salt 绝非一个好方法。使用 null salt 不仅让确定散列值变得十分容易,而且让该问题的解决变得非常困难。一旦该代码投入使用,则无法轻易更改该 salt。如果攻击者发现值是使用 null salt 进行散列处理的,他们就可以计算应用程序的“彩虹表”,并更轻松地确定散列值。null (nil) salt:
...
CCKeyDerivationPBKDF(kCCPBKDF2,
password,
passwordLen,
nil,
0,
kCCPRFHmacAlgSHA256,
100000,
derivedKey,
derivedKeyLen);
...
null salt。一旦程序发布,可能无法更改 null salt。雇员可以利用手中掌握的信息访问权限入侵系统。null (None) salt 可能会削弱系统安全性,一旦出现安全问题将无法轻易修正。null (None) salt 绝非一个好方法。使用 null salt 不仅让确定散列值变得十分容易,而且让该问题的解决变得非常困难。一旦该代码投入使用,则无法轻易更改该 salt。如果攻击者发现值是使用 null salt 进行散列处理的,他们就可以计算应用程序的“彩虹表”,并更轻松地确定散列值。null (None) salt:
import hashlib, binascii
from django.utils.crypto import pbkdf2
def register(request):
password = request.GET['password']
username = request.GET['username']
dk = pbkdf2(password, None, 100000)
hash = binascii.hexlify(dk)
store(username, hash)
...
null salt。一旦程序发布,可能无法更改 null salt。雇员可以利用手中掌握的信息访问权限入侵系统。null (nil) salt 可能会削弱系统安全性,一旦出现安全问题将无法轻易修正。null (nil) salt 绝非一个好方法。使用 null salt 不仅让确定散列值变得十分容易,而且让该问题的解决变得非常困难。一旦该代码投入使用,则无法轻易更改该 salt。如果攻击者发现值是使用 null salt 进行散列处理的,他们就可以计算应用程序的“彩虹表”,并更轻松地确定散列值。null (nil) salt:
...
let ITERATION = UInt32(100000)
...
CCKeyDerivationPBKDF(CCPBKDFAlgorithm(kCCPBKDF2),
password,
passwordLength,
nil,
0,
CCPseudoRandomAlgorithm(kCCPRFHmacAlgSHA256),
ITERATION,
derivedKey,
derivedKeyLength)
...
null salt。一旦程序发布,可能无法更改 null salt。雇员可以利用手中掌握的信息访问权限入侵系统。null salt (NULL) 背离其预期目标,可能会削弱系统安全性,一旦出现安全问题将无法轻易修正。null salt (NULL) 绝非一个好方法。不仅 nullsalt 背离其预期目标,而且该项目的所有开发人员都可以查看 salt。这使得修复问题变得极其困难,因为一旦该代码投入使用,则无法轻易更改该 salt。如果攻击者知道 salt 的值,他们就可以计算出该应用程序的“彩虹表”,并轻松地确定散列值。null salt:
...
define('SECURE_AUTH_SALT', NULL);
...
null salt。雇员可以利用手中掌握的信息访问权限入侵系统。null salt (None) 会背离其自己的目标,可能会削弱系统安全性,一旦出现安全问题将无法轻易修正。null salt (None) 绝非一个好方法。null salt 不仅会背离自己的初衷,还允许所有的项目开发人员查看该 salt,并使解决此问题变得极其困难。一旦该代码投入使用,则无法轻易更改该 salt。如果攻击者知道 salt 的值,他们就可以计算出该应用程序的“彩虹表”,并更轻松地确定散列值。null salt (None):
from django.utils.crypto import salted_hmac
...
hmac = salted_hmac(value, None).hexdigest()
...
null salt。雇员可以利用手中掌握的信息访问权限入侵系统。
...
byte[] passwd = Encoding.UTF8.GetBytes(txtPassword.Text);
Rfc2898DeriveBytes rfc = new Rfc2898DeriveBytes(passwd, passwd,10001);
...
...
let password = getPassword();
let salt = password;
crypto.pbkdf2(
password,
salt,
iterations,
keyLength,
"sha256",
function (err, derivedKey) { ... }
);
function register(){
$password = $_GET['password'];
$username = $_GET['username'];
$hash = hash_pbkdf2('sha256', $password, $password, 100000);
...
import hashlib, binascii
def register(request):
password = request.GET['password']
username = request.GET['username']
dk = hashlib.pbkdf2_hmac('sha256', password, password, 100000)
hash = binascii.hexlify(dk)
store(username, hash)
...
require 'openssl'
...
req = Rack::Response.new
password = req.params['password']
...
key = OpenSSL::PKCS5::pbkdf2_hmac(password, password, 100000, 256, 'SHA256')
...
...
string hashname = ConfigurationManager.AppSettings["hash"];
...
HashAlgorithm ha = HashAlgorithm.Create(hashname);
...
Example 1 中的代码将成功运行,但任何有权使用此功能的人将能够通过修改 hash 属性来操纵散列算法。一旦程序发布,撤消与用户控制的算法相关的问题就会非常困难,因为很难知道恶意用户是否确定了特定加密散列的算法参数。
...
Properties prop = new Properties();
prop.load(new FileInputStream("config.properties"));
String algorithm = prop.getProperty("hash");
...
MessageDigest messageDigest = MessageDigest.getInstance(algorithm);
messageDigest.update(hashInput.getBytes("UTF-8"));
...
Example 1 中的代码将成功运行,但任何有权使用此功能的人将能够通过修改 hash 属性来操纵散列算法。一旦程序发布,撤消与用户控制的算法相关的问题就会非常困难,因为很难知道恶意用户是否确定了特定加密散列的算法参数。
require 'openssl'
require 'csv'
...
CSV.read(my_file).each do |row|
...
hash = row[4]
...
digest = OpenSSL::Digest.new(hash, data)
...
end
Example 1 中的代码将成功运行,但任何有权使用此功能的人将能够通过修改 CSV 文件中的 hash 来操纵散列算法。一旦程序发布,撤消与用户控制的算法相关的问题就会非常困难,因为很难知道恶意用户是否确定了特定加密散列的算法参数。
...
String minimumBits = prop.getProperty("minimumbits");
Hashing.goodFastHash(minimumBits).hashString("foo", StandardCharsets.UTF_8);
...
Example 1 中的代码将成功运行,但任何有权使用此功能的人都可以通过修改 minimumBits 属性来操纵用于对密码执行散列的最小位。一旦程序发布,撤消有关用户控制的最小位的问题就会非常困难,因为您无法知道密码散列的最小位是否由恶意用户设置。
string salt = ConfigurationManager.AppSettings["salt"];
...
Rfc2898DeriveBytes rfc = new Rfc2898DeriveBytes("password", Encoding.ASCII.GetBytes(salt));
...
Example 1 中的代码将成功运行,但任何有权使用此功能的人将能够通过修改 salt 属性来操纵用于派生密钥或密码的 salt。一旦程序发布,撤消与用户控制的 salt 相关的问题就会非常困难,因为很难知道恶意用户是否确定了密码散列的 salt。
...
salt = getenv("SALT");
PKCS5_PBKDF2_HMAC(pass, sizeof(pass), salt, sizeof(salt), ITERATION, EVP_sha512(), outputBytes, digest);
...
Example 1 中的代码将成功运行,但任何有权使用此功能的人将能够通过修改环境变量 SALT 来操纵用于派生密钥或密码的 salt。一旦程序发布,撤消与用户控制的 salt 相关的问题就会非常困难,因为很难知道恶意用户是否确定了密码散列的 salt。
...
Properties prop = new Properties();
prop.load(new FileInputStream("local.properties"));
String salt = prop.getProperty("salt");
...
PBEKeySpec pbeSpec=new PBEKeySpec(password);
SecretKeyFactory keyFact=SecretKeyFactory.getInstance(CIPHER_ALG);
PBEParameterSpec defParams=new PBEParameterSpec(salt,100000);
Cipher cipher=Cipher.getInstance(CIPHER_ALG);
cipher.init(cipherMode,keyFact.generateSecret(pbeSpec),defParams);
...
Example 1 中的代码将成功运行,但任何有权使用此功能的人将能够通过修改 salt 属性来操纵用于派生密钥或密码的 salt。一旦程序发布,撤消与用户控制的 salt 相关的问题就会非常困难,因为很难知道恶意用户是否确定了密码散列的 salt。
app.get('/pbkdf2', function(req, res) {
...
let salt = req.params['salt'];
crypto.pbkdf2(
password,
salt,
iterations,
keyLength,
"sha256",
function (err, derivedKey) { ... }
);
}
Example 1 中的代码将成功运行,但任何有权使用此功能的人将能够通过修改 salt 属性来操纵用于派生密钥或密码的 salt。一旦程序发布,撤消与用户控制的 salt 相关的问题就会非常困难,因为很难知道恶意用户是否确定了密码散列的 salt。
...
@property (strong, nonatomic) IBOutlet UITextField *inputTextField;
...
NSString *salt = _inputTextField.text;
const char *salt_cstr = [salt cStringUsingEncoding:NSUTF8StringEncoding];
...
CCKeyDerivationPBKDF(kCCPBKDF2,
password,
passwordLen,
salt_cstr,
salt.length,
kCCPRFHmacAlgSHA256,
100000,
derivedKey,
derivedKeyLen);
...
Example 1 中的代码将成功运行,但任何有权使用此功能的人将能够通过修改 UITextField inputTextField 中的文本来操纵用于派生密钥或密码的 salt。一旦程序发布,撤消与用户控制的 salt 相关的问题就会非常困难,因为很难知道恶意用户是否确定了密码散列的 salt。
function register(){
$password = $_GET['password'];
$username = $_GET['username'];
$salt = getenv('SALT');
$hash = hash_pbkdf2('sha256', $password, $salt, 100000);
...
Example 1 中的代码将成功运行,但任何有权使用此功能的人将能够通过修改环境变量 SALT 来操纵用于派生密钥或密码的 salt。一旦程序发布,撤消与用户控制的 salt 相关的问题就会非常困难,因为很难知道恶意用户是否确定了密码散列的 salt。
import hashlib, binascii
def register(request):
password = request.GET['password']
username = request.GET['username']
salt = os.environ['SALT']
dk = hashlib.pbkdf2_hmac('sha256', password, salt, 100000)
hash = binascii.hexlify(dk)
store(username, hash)
...
Example 1 中的代码将成功运行,但任何有权使用此功能的人将能够通过修改环境变量 SALT 来操纵用于派生密钥或密码的 salt。一旦程序发布,撤消与用户控制的 salt 相关的问题就会非常困难,因为很难知道恶意用户是否确定了密码散列的 salt。
...
salt=io.read
key = OpenSSL::PKCS5::pbkdf2_hmac(pass, salt, iter_count, 256, 'SHA256')
...
Example 1 中的代码将成功运行,但任何有权使用此功能的人将能够通过修改 salt 中的文本来操纵用于派生密钥或密码的 salt。一旦程序发布,撤消与用户控制的 salt 相关的问题就会非常困难,因为很难知道恶意用户是否确定了密码散列的 salt。
...
@IBOutlet weak var inputTextField : UITextField!
...
let salt = (inputTextField.text as NSString).dataUsingEncoding(NSUTF8StringEncoding)
let saltPointer = UnsafePointer<UInt8>(salt.bytes)
let saltLength = size_t(salt.length)
...
let algorithm : CCPBKDFAlgorithm = CCPBKDFAlgorithm(kCCPBKDF2)
let prf : CCPseudoRandomAlgorithm = CCPseudoRandomAlgorithm(kCCPRFHmacAlgSHA256)
CCKeyDerivationPBKDF(algorithm,
passwordPointer,
passwordLength,
saltPointer,
saltLength,
prf,
100000,
derivedKeyPointer,
derivedKeyLength)
...
Example 1 中的代码将成功运行,但任何有权使用此功能的人将能够通过修改 UITextField inputTextField 中的文本来操纵用于派生密钥或密码的 salt。一旦程序发布,撤消与用户控制的 salt 相关的问题就会非常困难,因为很难知道恶意用户是否确定了密码散列的 salt。
...
salt = getenv("SALT");
password = crypt(getpass("Password:"), salt);
...
Example 1 将成功运行,但任何有权使用此功能的人将能够通过修改环境变量 SALT 来操纵用于对密码执行散列的 salt。此外,此代码还使用了 crypt() 函数,该函数不应用于对密码执行加密散列。一旦程序发布,撤消与用户控制的 salt 相关的问题就会非常困难,因为很难知道恶意用户是否确定了密码散列的 salt。
func someHandler(w http.ResponseWriter, r *http.Request){
r.parseForm()
salt := r.FormValue("salt")
password := r.FormValue("password")
...
sha256.Sum256([]byte(salt + password))
}
Example 1 中的代码将成功运行,但任何有权使用此功能的人可以通过修改 salt 环境变量来操纵用于对密码执行散列的 salt。此外,此代码还会使用 Sum256 加密散列函数,而该函数不应该用于对密码执行加密散列。一旦程序发布,撤消与用户控制的 salt 相关的问题就会非常困难,因为很难知道恶意用户是否确定了密码散列的 salt。
...
Properties prop = new Properties();
prop.load(new FileInputStream("local.properties"));
String salt = prop.getProperty("salt");
...
MessageDigest digest = MessageDigest.getInstance("SHA-256");
digest.reset();
digest.update(salt);
return digest.digest(password.getBytes("UTF-8"));
...
Example 1 中的代码将成功运行,但任何有权使用此功能的人将能够通过修改 salt 属性来操纵用于对密码执行散列的 salt。一旦程序发布,撤消有关用户控制的 salt 的问题就会非常困难,因为人们可能无法知道密码散列的 salt 是否已经被恶意用户确定。
import hashlib, binascii
def register(request):
password = request.GET['password']
username = request.GET['username']
salt = os.environ['SALT']
hash = hashlib.md5("%s:%s" % (salt, password,)).hexdigest()
store(username, hash)
...
Example 1 中的代码将成功运行,但任何有权使用此功能的人将能够通过修改 SALT 环境变量来操纵用于对密码执行散列的 salt。此外,此代码还会使用 md5() 加密散列函数,而该函数不应该用于对密码执行加密散列。一旦程序发布,撤消与用户控制的 salt 相关的问题就会非常困难,因为很难知道恶意用户是否确定了密码散列的 salt。
...
salt = req.params['salt']
hash = @userPassword.crypt(salt)
...
Example 1 中的代码将成功运行,但任何有权使用此功能的人将能够通过修改 salt 参数来操纵用于对密码执行散列的 salt。此外,此代码还使用了 String#crypt() 函数,该函数不应用于对密码执行加密散列。一旦程序发布,撤消与用户控制的 salt 相关的问题就会非常困难,因为很难知道恶意用户是否确定了密码散列的 salt。
let saltData = userInput.data(using: .utf8)
sharedSecret.hkdfDerivedSymmetricKey(
using: SHA256.self,
salt: saltData,
sharedInfo: info,
outputByteCount: 1000
)
示例 1 中的代码将成功运行,但任何有权使用此功能的人可以通过修改 userInput 的值来操纵用于派生加密密钥的 salt。一旦程序发布,撤消与用户控制的 salt 相关的问题就会非常困难,因为很难知道恶意用户是否确定了密码散列的 salt。
...
String seed = prop.getProperty("seed");
Hashing.murmur3_32_fixed(Integer.parseInt(seed)).hashString("foo", StandardCharsets.UTF_8);
...
Example 1 中的代码将成功运行,但任何有权使用此功能的人可以通过修改 seed 属性来操纵用于对密码执行散列的种子。一旦程序发布,撤消有关用户控制的种子的问题就会非常困难,因为您无法知道密码散列的种子是否由恶意用户确定。k,该值必须是加密随机、对外保密且绝不能重复使用的。如果攻击者可以猜出 k 值或者诱骗签名者使用其提供的值,则他们可以恢复私钥,然后伪造任何签名,从而冒充合法签名者。类似地,如果重复使用 k 值对多条消息进行签名,则攻击者可以恢复私钥。k,该值必须是加密随机、对外保密且绝不能重复使用的。如果攻击者可以猜出 k 值或者诱骗签名者使用其提供的值,则他们可以恢复私钥,然后伪造任何签名,从而冒充合法签名者。类似地,如果重复使用 k 值对多条消息进行签名,则攻击者可以恢复私钥。k,该值必须是加密随机、对外保密且绝不能重复使用的。如果攻击者可以猜出 k 值或者诱骗签名者使用其提供的值,则他们可以恢复私钥,然后伪造任何签名,从而冒充合法签名者。类似地,如果重复使用 k 值对多条消息进行签名,则攻击者可以恢复私钥。k,该值必须是加密随机、对外保密且绝不能重复使用的。如果攻击者可以猜出 k 值或者诱骗签名者使用其提供的值,则他们可以恢复私钥,然后伪造任何签名,从而冒充合法签名者。类似地,如果重复使用 k 值对多条消息进行签名,则攻击者可以恢复私钥。