MASTG-TEST-0062：密钥管理测试

已弃用测试

此测试已**弃用**，不应再使用。**原因**：MASTG V2 中提供新版本

请查看以下涵盖此 v1 测试的 MASTG v2 测试

• 在代码中使用硬编码的密码密钥
• 文件中硬编码的密码密钥

概述

静态分析

有各种关键字需要查找：检查概述中提到的库，以及“验证加密标准算法的配置”部分的静态分析，以了解哪些关键字最适合检查密钥的存储方式。

始终确保

• 如果密钥用于保护高风险数据，则不要跨设备同步密钥。
• 密钥不要在没有额外保护的情况下存储。
• 密钥不要硬编码。
• 密钥不要从设备的稳定特征中派生。
• 密钥不要通过使用较低级别的语言（例如 C/C++）来隐藏。
• 密钥不要从不安全的位置导入。

另请检查常见加密配置问题列表。

静态分析的大部分建议可以在“测试 iOS 数据存储”一章中找到。接下来，您可以在以下页面上阅读相关内容

• Apple 开发者文档：证书和密钥
• Apple 开发者文档：生成新密钥
• Apple 开发者文档：密钥生成属性

动态分析

Hook 加密方法并分析正在使用的密钥。在执行加密操作时，监视文件系统访问，以评估密钥材料写入或读取的位置。