• 未(wei)明確約(yue)定協議底層使用的算(suan)法名(ming)稱(cheng)及參數

• 擅自修改數據接口及(ji)數據格(ge)式

• 簡化使用標準(zhun)所規定的密碼協議

• 大量的(de)SSL軟(ruan)件并沒(mei)有(you)正確地驗(yan)證(zheng)(zheng)網絡實體(ti)與(yu)公鑰／數字證(zheng)(zheng)書(shu)的(de)綁定(ding)關系，在(zai)數字證(zheng)(zheng)書(shu)驗(yan)證(zheng)(zheng)過程中(zhong)沒(mei)有(you)檢查根(gen)證(zheng)(zheng)書(shu)配置和實體(ti)身份(fen)標識，在(zai)這種情況下，即使啟用了(le)SSL協(xie)議，仍然會(hui)存在(zai)中(zhong)間人攻擊的(de)風險

• ……

03 密(mi)碼(ma)技術被誤(wu)用

如果相(xiang)關單位對密碼(ma)應用(yong)缺乏技能和經(jing)驗，不清(qing)楚合規(gui)性(xing)要求(qiu)，不了解密碼(ma)算法的(de)類(lei)型(xing)、協議參(can)與方的(de)角色要求(qiu)、關鍵參(can)數的(de)類(lei)型(xing)和規(gui)模等基本知(zhi)識，錯(cuo)誤調用(yong)密碼(ma)技術，就會(hui)不可避免地產(chan)生安全(quan)漏洞。

常見案例(li):

棄用(yong)、亂用(yong)、誤用(yong)密碼技術都將導致安全問題(ti)。因此，合規、正確、有效使用密碼技術是信息系統責任單位、應用開發商等相關主體必須學習并熟練掌握的基本能力。同時也必須認識到，只有責任單位、應用開發商等相關主體了解、提煉實際安全需求，才能在其使用密碼技術建設安全應用的過程中有機會做到“正確規范”。

以某應用(yong)(yong)中(zhong)需(xu)要“抗(kang)抵賴簽(qian)名”為例，關(guan)鍵信(xin)(xin)息包括簽(qian)名者(zhe)的身份、簽(qian)署(shu)內容的類型、具(ju)體(ti)的數據格式及驗簽(qian)者(zhe)的身份等。這些與實(shi)際應用(yong)(yong)密切相關(guan)的細(xi)(xi)節信(xin)(xin)息，是密碼技術(shu)自身所不能(neng)掌握(wo)的。信(xin)(xin)息系統(tong)責任單位務必與相關(guan)主體(ti)深入(ru)溝(gou)通，明確此類細(xi)(xi)節，提(ti)煉安(an)全需(xu)求，從而為正確規范使用(yong)(yong)密碼技術(shu)做好(hao)準備。

合(he)規(gui)、正(zheng)確、有效(xiao)使用密(mi)碼，使用自主、安(an)全(quan)、可(ke)控的密(mi)碼，才能有力護航(hang)國家(jia)安(an)全(quan)和經濟社會(hui)發展，有力保障公民合(he)法權(quan)益和個(ge)人隱私(si)。

——部分(fen)內容摘錄自《商用(yong)密(mi)碼應用(yong)與安全性評估》