标准密码学库中的密码学函数都经过了良好的设计,但在现实中,由于开发者们的使用不当,经常达不到原有的安全标准。本文在现有研究的基础上,设计了一套用来检测密码学误用问题的框架,将支持的密码学误用规则扩展到21个,对分析不同架构的支持也更加完善。本文从8个标准密码学库中提取了452个可能触发上述误用规则的密码学函数。经过对来自不同厂商的3927个固件的实验验证,发现有89.5%的二进制中存在着至少一个密码学误用问题。

• 单位
  南京邮电大学