CWE-326 on FIPS compliant AES256

Veracode가 다음 FIPS 호환 C# 플래그를 사용하는 이유는 무엇입니까?CWE-326 on FIPS compliant AES256

var cipher = new AesCng() 
{ 
    BlockSize = 128, 
    KeySize = 256, 
    Mode = CipherMode.CBC, 
    Padding = PaddingMode.PKCS7 
};

2017-09-13 Hintz

프로그래밍 되었기 때문에. 왜 그럴까? –

보안 위험을 완화하려면 수정을 위해 충분히 이해해야합니다. AesCng이 CWE-326을 위반 한 이유를 이해해야합니다. AES256은 더 이상 안전하다고 생각되지 않기 때문에, FIPS 설정 중 하나입니까? 아니면 설정이 누락 되었습니까? – Hintz

안녕하세요 : 그래서 우리가 취할 수있는 현재의 베라 코드는이 최근의 검사라면 256의 키 크기와 AES의 사용에하지 플래그 CWE (326), 당신은 베라 코드 지원에 문의하시기 바랍니다 수있는 것입니다 가능성 검색 이것이 왜 신고되었는지 자세히 알아 보았습니까?

이전 스캔 결과 인 경우 응용 프로그램을 다시 스캔하여 문제가 계속 표시되는지 확인해보십시오.

2017-10-04 01:21:54

이 코드는 현재 결함으로 플래그됩니다. 나는 지원을 요청했지만 그들은 나와 이야기하지 않을 것입니다. 그들은 다음 주에 '상담'일정을 잡기를 원합니다. – Hintz

컨설턴트는 이것이 다음 릴리스에서 수정 될 가능성이있는 것으로 알려진 거짓 긍정이라고 생각한다고 말합니다. – Hintz

답변