Durante il mio autodidatta sul tentativo di trovare le vulnerabilità delle applicazioni mobili, ho trovato un elenco di pacchetti di crittografia che sono / sono stati considerati insicuri:
md5 sha1 sha-1 md4 rc4 des tripledes 3des
Se avessi digerito questi termini in qualche codice Java decompilato e avessi ottenuto dei risultati, sarebbe corretto dire che c'è un problema?
Un semplice grep non fornirebbe un contesto sufficiente per determinare se c'è un problema. Anche se si trovano usi effettivi per questi algoritmi meno sicuri (contrariamente al solo trovare codice che usa questi nomi per altre cose) non è ancora chiaro se c'è un problema reale. Ad esempio, MD5 e SHA-1 non sono un problema se usati come HMAC. Quindi, in realtà è necessario considerare a cosa servono questi algoritmi.