この暗号スイートのリストを改善できますか?
モバイルアプリケーションの脆弱性を見つけようとすることについての自己学習中に、安全でないと見なされた/見なされた暗号スイートのリストを見つけました。
md5 sha1 sha-1 md4 rc4 des tripledes 3des
逆コンパイルされたJavaコードでこれらの用語を理解してヒットした場合、問題があると言っても差し支えありませんか?
単純なgrepは、問題があるかどうかを判断するのに十分なコンテキストを提供しません。これらの安全性の低いアルゴリズムの実際の使用法を見つけたとしても(他の目的でこれらの名前を使用するコードを見つけるのとは対照的に)、実際の問題があるかどうかはまだ明らかではありません。たとえば、MD5とSHA-1は、HMACとして使用する場合は問題ありません。したがって、実際には、これらのアルゴリズムが何に使用されているかを確認する必要があります。