在「行動應用APP基本資安檢測基準V4.0」中,有一項有關加密演算法的變動要提醒大家注意,牽涉到的層面包括儲存及傳輸,相關測項包括4.1.2.3.6及4.1.2.4.1,小編以4.1.2.3.6為大家說明:
4.1.2.3.6. 敏感性資料應採用適當且有效之金鑰長度與加密演算法,進行加密處理再儲存
檢測基準中第(1)項建議採用的加密演算法為AES或ChaCha20,若比較基準3.2版,原本講的是AES或Triple DES,為什麼新版基準要做這樣的變動呢?
我們來看一下備註(2)就知道是怎麼回事了。
根據美國國家標準技術研究院建議:於2023年12月31日以後不允許對Triple DES (3DES、DES3) 加密之支援。故將3DES加密從基準中剔除。
小編也為大家查詢了NIST的官方資訊證實了此項變動。(https://csrc.nist.gov/news/2023/nist-to-withdraw-sp-800-67-rev-2)
這就代表在基準4.0版正式施行後,若送測App有用到三重數據加密算法(Triple Data Encryption Algorithm,縮寫為TDEA,亦稱為Triple DES) ,將會被視為強度不足的加密演算法(pic 1),因此判定為不符合。
開發人員在送測前就有必要檢查一下程式碼,將Triple DES改為AES或是ChaCha20,才可以符合基準要求。
在「行動應用APP基本資安檢測基準V4.0」中,有一項有關加密演算法的變動要提醒大家注意,牽涉到的層面包括儲存及傳輸,相關測項包括4.1.2.3.6及4.1.2.4.1,小編以4.1.2.3.6為大家說明:
4.1.2.3.6. 敏感性資料應採用適當且有效之金鑰長度與加密演算法,進行加密處理再儲存
檢測基準中第(1)項建議採用的加密演算法為AES或ChaCha20,若比較基準3.2版,原本講的是AES或Triple DES,為什麼新版基準要做這樣的變動呢?
我們來看一下備註(2)就知道是怎麼回事了。
根據美國國家標準技術研究院建議:於2023年12月31日以後不允許對Triple DES (3DES、DES3) 加密之支援。故將3DES加密從基準中剔除。
小編也為大家查詢了NIST的官方資訊證實了此項變動。(https://csrc.nist.gov/news/2023/nist-to-withdraw-sp-800-67-rev-2)
這就代表在基準4.0版正式施行後,若送測App有用到三重數據加密算法(Triple Data Encryption Algorithm,縮寫為TDEA,亦稱為Triple DES) ,將會被視為強度不足的加密演算法(pic 1),因此判定為不符合。
開發人員在送測前就有必要檢查一下程式碼,將Triple DES改為AES或是ChaCha20,才可以符合基準要求。
近期文章