❶ 安全设计原则
1、 开放设计原则:设计不应该是秘密,开放设计更安全
现在更关注在 秘钥上,而不是算法上。算法很多都是开源的,公开的。
不要用“私有”的加密算法
2、 失败-默认安全原则:白名单比黑名单好
失败安全:任何一个负责熊应该有一个处理功能失效后的应急安全机制,另外对错误消息和日志要小心,防止信息泄露。比如 登录失败过多,锁定账户
默认安全:默认配置就应该是安全状态。
例子:客服发现 设备的管理端口可以通过手机来直接访问,存在安全漏洞。由于初始安装后没有进行安全设置。
3、权限分离原则:一种机制需要两把 钥匙 来解锁,这样会只比一把钥匙 更高健壮和更灵活一些。
亚里士多德三权分立: 立法,行政,司法
系统管理员, 安全管理员,安全审计员
例子:IIS6,微软将 外部网服务器请求分成两个账户执行,一个普通用户,一个高权限用户。提升了安全性。
4、最小权限原则
例子:手机手电筒软件申请了 存储,通讯录等权限
5、 经济适用原则: 设计应该尽量 简单,紧凑
比如AK47, 简单好用
双重加密: 即采用了SSL协议,又采用了对称加密算法。影响了性能
加密组件,组件化设计
6、最小公共化原则:尽量避免提供多个对象共享同一资源的场景,对资源访问的共享数量和使用应该最小化。
共享内存的最小化
7、安全仲裁原则:
对每次访问都必须经过安全检查审核
客户端少做安全机制,因为黑客会绕过他
例子: 用户通过URL可以换成日志,没有进行权限校验
DNS投毒,黑客篡改客户端HOST文件
8、心理可承受原则:
12306,下面图片谁最帅
终端软件可以记住密码。其他安全性比较高的,禁止使用。
9、纵深防御原则:保护最薄弱环节
苏联和德国之战
❷ 弱点扫描提示安全风险存在,建议关闭弱加密算法,linux怎么关闭啊弱
1、确保你的虚拟机网路设置正确。 2、如果采用的是独立无线网卡那么要确保独立网卡能被虚拟机识别,虚拟机安装了独立无线网卡的驱动
❸ weblogic下怎么禁用弱ssl加密算法
缺省安装中使用DemoIdentity.jks和DemoTrust.jks KeyStore实现SSL,需要配置服务器使用Enable SSL,配置其端口,在产品模式下需要从CA获取私有密钥和数字证书,创建identity和trust keystore,装载获得的密钥和数字证书。可以配置此SSL连接是单向还是双向的。
❹ 关于文件夹加密的问题! 请懂的朋友教教我 谢谢
用压缩软件,在压缩的时候加密
如何给RAR加密
RAR 和 ZIP 两种格式均支持加密功能。
若要加密文件,在压缩之前你必须先指定密码,或直接在 压缩文件名和参数 对话框中指定。
在 命令行 模式时使用开关 -p[密码]。
而在 WinRAR 图形界面时,要输入密码你可以按下 Ctrl+P 或者是在 文件菜单 选择“设置默认密码”命令。
另一种方式是单击 WinRAR 窗口底部左下角的钥匙图标。在 压缩文件名和参数对话框 里的“高级选项”组中按下“设置密码”按钮输入密码。
和 ZIP 不同,RAR 格式不只允许数据,而且其它的可感知的压缩文件区域:文件名、大小、属性、注释和其它块都可加密。如果你希望这样做,你需要在密码对话框中设置“加密文件名” 选项,或在命令行模式使用 -p[密码] 的开关 -hp[密码]。以这种方式加密的文件,如果没有密码甚至不可能查看文件列表。
当不再需要的时候,别忘了将输入的密码删除。不然你或许又加密了别的压缩文件,但却不希望使用同一组密码。要删除密码时,只需要输入空字符串来替换原先的密码,或者先关闭WinRAR 并重新启动一次。当有密码存在时,钥匙的图标是红色的,否则它是黄色的。而且,当你使用密码开始压缩操作时,标题栏 压缩文件名和参数对话框 也会闪烁两次。
如果你在 压缩文件名和参数 对话框直接输入它,你不需要删除密码。这不同于其它方式,此类密码仅在单一压缩操作有效,并在完成后它会自动删除。
当解压加密的文件时,开始操作之前你也可以不需要事先输入密码。如果 WinRAR 遇到加密的文件,而解压之前未先输入密码的话,它便会提示用户输入密码。
WinRAR 支持 ZIP 2.0 格式使用私有加密算法。 RAR 压缩文件使用更强大的 AES-128 标准加密。如果你需要加密重要的信息,选择 RAR 压缩文件格式会比较好一些。为了确实的安全性,密码长度请最少要 8 个字符。不要使用任何语言的单词作为密码,最好是任意的随机组合字符和数字,并且要注意密码的大小写。请记住,如果你遗失你的密码,你将无法取出加密的文件,就算是 WinRAR 的作者本身也无法解压加密过的文件。
❺ Android 的几种加密方式
Android 中的最常用得到有三种加密方式:MD5,AES,RSA.
1.MD5
MD5本质是一种散列函数,用以提供消息的完整性保护。
特点:
1.压缩性:任意长度的数据,算出的MD5值长度都是固定的;
2.容易计算:从原数据计算出MD5值很容易;
3.抗修改性:对原数据进行任何改动,哪怕只修改一个字节,所得到的MD5值都有很大的区别
4.强抗碰撞:已知原数据和其MD5值,想找到一个具有相同MD5值的数据(及伪造数据)是非常困难的;
2.RSA加密
RSA加密算法是一种非对称加密算法,非对称加密算法需要两个密钥:公共密钥和私有密钥。公钥和私钥是配对的,用公钥加密的数据只有配对的私钥才能解密。
RSA对加密数据的长度有限制,一般为密钥的长度值-11,要加密较长的数据,可以采用数据截取的方法,分段加密。
3.AES加密
AES加密是一种高级加密的标准,是一种区块加密标准。它是一个对称密码,就是说加密和解密用相同的密钥。WPA/WPA2经常用的加密方式就是AES加密算法。
❻ ssl安全 怎么禁用RC4加密算法
SCHANNEL\Protocols 子项
协议 的注册表项下 SCHANNEL
键用于的控件使用的协议支持由 Schannel.dll 文件,并限制该协议使用 TLS 服务器或 TLS 的客户端。
若要禁止使用的 SSL
3.0 或 TLS 1.0 之外的其他协议,请将 Enabled 值的 DWORD 鍊兼暟鎹改为 0x0 中下面的注册表项,在 协议 键下的每个:
目前的 Microsoft 消息队列使用的客户端和服务器之间只有 PCT 1.0
SCHANNEL\Ciphers 子项
密码 的注册表项下 SCHANNEL 键用于控制如 DES 或 RC4
对称算法的使用。 以下是在 密码 键下的有效注册表项。
SCHANNEL\Ciphers\RC4
128/128 子项:
rc4 128/128
此子项是指 128 位 RC4。
要允许此密码算法、 0xffffffff 到更改
启用 值的 DWORD 值数据,否则更改为 0x0 的 DWORD
值数据。 如果不配置 启用 值,启用了默认值。 此注册表项不能应用于不具备 SGC
证书
---------------------------------------------------------------------------------------
des:有好几种:0xffffffff 到更改 启用,否则更改为 0x0 ,不配置 启用
值,启用了默认值,但有很多不允许禁用的算法。。。
TLS 1.0 和SSL 3.0
:{}是要在regedit里建的值:
ssl_rsa_export_with_rc4_40_md5
{0x00,0x03}
ssl_rsa_with_rc4_128_md5
{0x00,0x04}
SSL_RSA_WITH_DES_CBC_SHA
{0x00,0x09}
ssl_rsa_with_3des_ede_cbc_sha
{0x00,0x0A}
ssl_rsa_export1024_with_des_cbc_sha
{0x00,0x62}
ssl_rsa_export1024_with_rc4_56_sha
{0x00,0x64}
TLS_RSA_WITH_DES_CBC_SHA
{0x00,0x09}
tls_rsa_with_3des_ede_cbc_sha
{0x00,0x0A}
tls_rsa_export1024_with_des_cbc_sha
{0x00,0x62
tls_rsa_export_with_rc4_40_md5
{0x00,0x03}
tls_rsa_with_rc4_128_md5
{0x00,0x04}
1
。。。。SCHANNEL\Ciphers\Triple
DES 128/128 子项:
三重 DES 168/168
2
。。。。SCHANNEL\Ciphers\RC2 56/56
子项:
DES 56/56
3
SCHANNEL\Hashes\MD5
子项:
md5
=====
例子:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\MD5]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\SHA]
"Enabled"=dword:ffffffff
SCHANNEL\Protocols\PCT 1.0\Client
SCHANNEL\Protocols\PCT 1.0\Server
SCHANNEL\Protocols\SSL 2.0\Client
SCHANNEL\Protocols\SSL 2.0\Server
❼ 如何禁用的SSLv3在IIS和RC4加密算法
为一个基于密码学的安全开发包,OpenSSL提供的功能相当强大和全面,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。
1.对称加密算法
OpenSSL一共提供了8种对称加密算法,其中7种是分组加密算法,仅有的一种流加密算法是RC4。这7种分组加密算法分别是AES、DES、Blowfish、CAST、IDEA、RC2、RC5,都支持电子密码本模式(ECB)、加密分组链接模式(CBC)、加密反馈模式(CFB)和输出反馈模式(OFB)四种常用的分组密码加密模式。其中,AES使用的加密反馈模式(CFB)和输出反馈模式(OFB)分组长度是128位,其它算法使用的则是64位。事实上,DES算法里面不仅仅是常用的DES算法,还支持三个密钥和两个密钥3DES算法。
2.非对称加密算法
OpenSSL一共实现了4种非对称加密算法,包括DH算法、RSA算法、DSA算法和椭圆曲线算法(EC)。DH算法一般用户密钥交换。RSA算法既可以用于密钥交换,也可以用于数字签名,当然,如果你能够忍受其缓慢的速度,那么也可以用于数据加密。DSA算法则一般只用于数字签名。
3.信息摘要算法
OpenSSL实现了5种信息摘要算法,分别是MD2、MD5、MDC2、SHA(SHA1)和RIPEMD。SHA算法事实上包括了SHA和SHA1两种信息摘要算法,此外,OpenSSL还实现了DSS标准中规定的两种信息摘要算法DSS和DSS1。
4.密钥和证书管理
密钥和证书管理是PKI的一个重要组成部分,OpenSSL为之提供了丰富的功能,支持多种标准。
首先,OpenSSL实现了ASN.1的证书和密钥相关标准,提供了对证书、公钥、私钥、证书请求以及CRL等数据对象的DER、PEM和BASE64的编解码功能。OpenSSL提供了产生各种公开密钥对和对称密钥的方法、函数和应用程序,同时提供了对公钥和私钥的DER编解码功能。并实现了私钥的PKCS#12和PKCS#8的编解码功能。OpenSSL在标准中提供了对私钥的加密保护功能,使得密钥可以安全地进行存储和分发。
在此基础上,OpenSSL实现了对证书的X.509标准编解码、PKCS#12格式的编解码以及PKCS#7的编解码功能。并提供了一种文本数据库,支持证书的管理功能,包括证书密钥产生、请求产生、证书签发、吊销和验证等功能。
事实上,OpenSSL提供的CA应用程序就是一个小型的证书管理中心(CA),实现了证书签发的整个流程和证书管理的大部分机制。
5.SSL和TLS协议
OpenSSL实现了SSL协议的SSLv2和SSLv3,支持了其中绝大部分算法协议。OpenSSL也实现了TLSv1.0,TLS是SSLv3的标准化版,虽然区别不大,但毕竟有很多细节不尽相同。
虽然已经有众多的软件实现了OpenSSL的功能,但是OpenSSL里面实现的SSL协议能够让我们对SSL协议有一个更加清楚的认识,因为至少存在两点:一是OpenSSL实现的SSL协议是开放源代码的,我们可以追究SSL协议实现的每一个细节;二是OpenSSL实现的SSL协议是纯粹的SSL协议,没有跟其它协议(如HTTP)协议结合在一起,澄清了SSL协议的本来面目。
6.应用程序
OpenSSL的应用程序已经成为了OpenSSL重要的一个组成部分,其重要性恐怕是OpenSSL的开发者开始没有想到的。现在OpenSSL的应用中,很多都是基于OpenSSL的应用程序而不是其API的,如OpenCA,就是完全使用OpenSSL的应用程序实现的。OpenSSL的应用程序是基于OpenSSL的密码算法库和SSL协议库写成的,所以也是一些非常好的OpenSSL的API使用范例,读懂所有这些范例,你对OpenSSL的API使用了解就比较全面了,当然,这也是一项锻炼你的意志力的工作。
OpenSSL的应用程序提供了相对全面的功能,在相当多的人看来,OpenSSL已经为自己做好了一切,不需要再做更多的开发工作了,所以,他们也把这些应用程序成为OpenSSL的指令。OpenSSL的应用程序主要包括密钥生成、证书管理、格式转换、数据加密和签名、SSL测试以及其它辅助配置功能。
7.Engine机制 Engine机制的出现是在OpenSSL的0.9.6版的事情,开始的时候是将普通版本跟支持Engine的版本分开的,到了OpenSSL的0.9.7版,Engine机制集成到了OpenSSL的内核中,成为了OpenSSL不可缺少的一部分。 Engine机制目的是为了使OpenSSL能够透明地使用第三方提供的软件加密库或者硬件加密设备进行加密。OpenSSL的Engine机制成功地达到了这个目的,这使得OpenSSL已经不仅仅使一个加密库,而是提供了一个通用地加密接口,能够与绝大部分加密库或者加密设备协调工作。当然,要使特定加密库或加密设备更OpenSSL协调工作,需要写少量的接口代码,但是这样的工作量并不大,虽然还是需要一点密码学的知识。Engine机制的功能跟Windows提供的CSP功能目标是基本相同的。目前,OpenSSL的0.9.7版本支持的内嵌第三方加密设备有8种,包括:CryptoSwift、nCipher、Atalla、Nuron、UBSEC、Aep、SureWare以及IBM 4758 CCA的硬件加密设备。现在还出现了支持PKCS#11接口的Engine接口,支持微软CryptoAPI的接口也有人进行开发。当然,所有上述Engine接口支持不一定很全面,比如,可能支持其中一两种公开密钥算法。
8.辅助功能
BIO机制是OpenSSL提供的一种高层IO接口,该接口封装了几乎所有类型的IO接口,如内存访问、文件访问以及Socket等。这使得代码的重用性大幅度提高,OpenSSL提供API的复杂性也降低了很多。
OpenSSL对于随机数的生成和管理也提供了一整套的解决方法和支持API函数。随机数的好坏是决定一个密钥是否安全的重要前提。
OpenSSL还提供了其它的一些辅助功能,如从口令生成密钥的API,证书签发和管理中的配置文件机制等等。如果你有足够的耐心,将会在深入使用OpenSSL的过程慢慢发现很多这样的小功能,让你不断有新的惊喜。
❽ getInstance方法会使用弱加密算法怎么解决
极度不安全。
只能调用getInstance方法来得到对象,而getInstance保证了每次调用都返回相同的对象。数据加密标准算法DES,是极度不安全的。使用类似EFF(ElectronicFrontierFoundaton)DeepCra(see)k的计算机在一天内可以暴力破解由DES加密的消息。
❾ 为什么Android使用弱加密算法
Android使用弱加密算法的原因:
Android 2.2.1默认使用的加密算法是AES 256-SHA1,但从2010年发布的Android 2.3开始,它默认使用的是一种更弱的加密算法 RC4-MD5。 当Android应用建立SSL加密连接,如果没有指定的话它将默认使用RC4-MD5进行加密。
Georg Lukas 在分析了 Android 源代码之后发现, 默认加密算法的次序是 Sun/甲骨文的 Java 定义的,Java 规格定义的 TLS 安全传输协议加密算法列表中前两种为 RC4 和 MD5,2011 年发布的 Java 7 加入椭圆曲线加密算法改进了加密列表,但 Android 是基于 JDK 6,仍然沿用十年前定义的默认加密算法列表。