MASWE-0022: 可预测的初始化向量 (IVs)

Beta 版内容

此内容处于 beta 版，仍在积极开发中，因此随时可能发生变化（例如结构、ID、内容、URL 等）。

发送反馈

占位符漏洞

此弱点尚未创建，它是一个占位符。但您可以检查其状态或自行着手处理。如果该问题尚未被分配，您可以请求分配给自己，并通过遵循我们的指南提交包含该弱点新内容的 PR。

检查 GitHub 上 MASWE-0022 的问题

初始描述或提示

在安全敏感的环境中使用可预测的 IV（硬编码、空值、重复使用）可能会削弱数据加密强度，并可能损害机密性。

相关主题

• 不再对 GCM 使用 IvParameterSpec.class，而是使用 GCMParameterSpec.class（Android）
• 硬编码的 IVs
• 空值 IVs
• 重复使用的 IVs

参考资料

• https://developer.android.com.cn/privacy-and-security/cryptography#pbe-without-iv

MASTG v1 覆盖范围

• MASTG-TEST-0014 - 测试加密标准算法配置 (android)