全部科目 > 软件评测师 >
2013年下半年 上午试卷 综合知识
第 9 题
知识点 加密   通信加密  
关键词 加密算法   密钥   加密   算法  
章/节 测试技术的分类  
 
 
下列算法中,不属于公开密钥加密算法的是(9)。
 
  A.  ECC
 
  B.  DSA
 
  C.  RSA
 
  D.  DES
 
 




 
 
相关试题     软件产品安全测试 

  第46题    2010年下半年  
加密和解密是明文和密文之间的可逆转换,(46)不属于加密算法。

  第68题    2013年下半年  
对一段信息生成消息摘要是防止信息在网络传输及存储过程中被篡改的基本手段,(68)不属于生成消息摘要的基本算法。

  第68题    2014年下半年  
以下关于公钥加密技术的叙述中,不正确的是 (68).

 
知识点讲解
· 加密
· 通信加密
 
        加密
        如果应用程序使用加密来提供安全性,检查加密的内容以及加密的使用方法。下表显示了与加密有关的常见漏洞。
        
        常见的加密漏洞
        测试中需要考虑下列问题,帮助验证应用程序处理敏感数据的方法。
        . 为何使用特定的算法。
        加密只有在正确使用时才能提供真正的安全保障。不同作业使用不同的算法。算法的程度也非常重要。考虑下列问题,评价所使用的加密算法。
        ①是否开发自己的加密技术。
        不应开发自己的加密技术。众所周知,加密算法和例程的开发非常难,而且很难成功。自定义实施的安全保护一般很弱,基本上不如久经考验的系统平台服务提供的安全措施。
        ②是否使用合适的密钥大小来应用正确的算法。
        检查应用程序使用的算法及使用该算法的目的。较大的密钥可提供较高的安全性,但会影响性能。对于在数据存储中长时间保存的永久数据,较强的加密非常重要。
        . 如何确保加密密钥的安全性。
        加密数据的安全与密钥的安全同等重要。要破解加密数据,攻击者必须能检索出密钥和密码文本。因此,需要检查设计,确保加密密钥和加密数据的安全。考虑下列评价问题。
        ①如何确保加密密钥的安全。
        如果使用DPAPI,将由系统平台为用户管理密钥。其他情况下,则由应用程序负责密钥管理。检查应用程序确保加密密钥安全的方法。一种较好的方法是,使用DPAPI加密其他加密形式所需的加密密钥。然后,安全地保存加密密钥,例如,将其放在配置了受限ACL的注册表项目下。
        ②回收密钥的频率如何。
        不能滥用密钥。同一密钥使用的时间越长,被发现的可能性就越高。设计是否考虑了怎样回收密钥、回收的频率,以及如何将它们分发并安置在服务器中。
 
        通信加密
        通信加密是保证数据在传输过程中数据的保密性和一致性的测试,软件产品在技术上通常使用链路加密、数据加密的方式进行,目前使用的加密技术包括VPN技术、对称加密算法、非对称加密算法、HASH算法等。
        VPN技术通常使用Kebores加密算法结合IPSec加密协议,实现通信链路的加密,加密强度较高,多用于广域网中的数据安全传输,但是操作较复杂。
        对称加密算法和非对称加密算法主要包括RSA、DSA(非对称)、DES(对称),使用上述算法的主要目的在于解决数据的保密性传输。
        HASH算法的目的在于保护数据内容的一致性,防止数据在传输过程中被篡改。
        通信加密测试的目的主要是,保证软件产品确实在开发过程中,按照设计要求使用了上述方法进行了通信的加密,通常使用验证和侦听技术完成。另外还需要注意的是,如果开发过程中使用上述标准对加密函数进行加密,加密强度是受密钥的复杂度等因素影响的,无须对本身算法加密强度进行论证,如果使用自定义的加密函数,测试人员应当使用破解技术对算法本身的加密强度进行论证,或将自定义加密算法提交特定机构进行测试和认证。



更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5
京公网安备 11010502032051号 | 营业执照
 Copyright ©2000-2023 All Rights Reserved
软考在线版权所有