[功能改进]: Mybatis-Plus 使用的AES工具类在进行加密时未使用随机IV,存在安全隐患 #6553
Comments
|
补充:我发现在 #6262 中有人提出过相关问题,但被标记为 |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
{{ message }}
确认
功能改进
AES.java#L50
中加密时使用的IV与Key一致,这削弱了AES的安全性,可能受到
已知明文攻击(Known-Plaintext Attack, KPA)改进建议:
每次加密时,都应该生成一个随机的 IV。这个 IV 可以和密文一起传输,因为它不需要保密,但它必须是唯一的。
IV 和密钥必须是完全独立的,绝对不能使用相同的数据。IV 的作用是增强加密的随机性,而密钥的作用是保证加密的安全性。
参考资料
No response
The text was updated successfully, but these errors were encountered: