PSpice AES-256 шифрлэлтийг эвдсэн хуулж буулгах алдаа

PSpice AES-256 шифрлэлтийг эвдсэн хуулж буулгах алдаа

Програм хангамж хөгжүүлэлтийн ертөнцөд хамгийн чухал эмзэг байдал нь алгоритмын нарийн төвөгтэй алдаанаас биш, харин энгийн хүний хяналтаас үүдэлтэй байдаг. Cadence-ийн салбарын стандартын хэлхээний симуляцийн программ хангамж болох PSpice-ээс олж илрүүлсэн ноцтой алдаа нь энэ үнэнийг тод сануулсан юм. Бат бөх AES-256 шифрлэлтийн алгоритмыг хэрэгжүүлэх явцад гарсан алдаа нь энгийн, энгийн гарал үүсэлтэй байсан: хуулж буулгах алдаа. Энэхүү үйл явдал программ хангамжийн инженерчлэлийн бүх нийтийн сорилтыг онцолж, Mewayz гэх мэт модульчлагдсан, аудит хийх боломжтой платформууд яагаад уян хатан бизнесийн системийг бий болгоход зайлшгүй шаардлагатай болж байгааг онцлон тэмдэглэв. Энэ алдааны түүх бол кодыг хуулбарлах далд зардал болон цул програм хангамжийн архитектурын эмзэг байдлын тухай сэрэмжлүүлэг юм.

Криптографийн сүйрлийн анатоми

Алдааг PSpice-н шифрлэлтийн функцүүдэд ашигладаг `cryptlib` криптографийн сангаас олсон. Үндсэндээ Нарийвчилсан шифрлэлтийн стандарт (AES) нь боловсруулалтын олон үе шатанд ажилладаг. AES-256-ийн хувьд ийм төрлийн 14 тойрог байдаг. Тойрог бүр нь түлхүүр өргөтгөл гэж нэрлэгддэг процессоор дамжуулан анхны шифрлэлтийн түлхүүрээс гаргаж авсан тодорхой "дугуй түлхүүр" шаарддаг. Хөгжүүлэгчийн даалгавар бол эдгээр 14 тойргийг хэрэгжүүлэх гогцоо бичих явдал байв. Гэсэн хэдий ч цэвэр, давтагдах давталтын оронд код нь бараг ижил хоёр блокоор бүтэцлэгдсэн: нэг нь эхний есөн тойрог, нөгөө нь сүүлийн таван тойрогт зориулагдсан. Хуулах, буулгах үйл ажиллагааны явцад орлуулах алхамыг гүйцэтгэдэг кодын чухал мөрийг санамсаргүйгээр хоёр дахь блокоос хассан. Энэ нь шифрлэлтийн сүүлийн таван үе шатанд AES алгоритмын чухал хэсгийг зүгээр л алгасаж, шифрлэлтийг сүйрлийн байдлаар сулруулсан гэсэн үг юм.

Яагаад цул кодбитууд нь алдаануудыг үржүүлдэг вэ?

Энэ алдаа олон жилийн турш үл анзаарагдав, учир нь энэ нь өргөн уудам, цул кодын санд оршдог байсан. Ийм орчинд "cryptlib" гэх мэт нэг модуль нь програмын материалд нягт сүлжмэл байдаг тул тусгаарлагдсан туршилт, баталгаажуулалтыг хийхэд хэцүү болгодог. Шифрлэлтийн тойргийн логик нь бие даасан, амархан туршиж болох нэгж биш, харин илүү том оньсогоны хэсэг байв. Энэхүү модульчлэлийн дутагдал нь байгууллагын програм хангамжийн эрсдэлт хүчин зүйл юм. Энэ нь нэг алдаатай бүрэлдэхүүн хэсэг нь нарийн төвөгтэй үйлдвэрлэлийн шугамыг зогсоож чаддагтай адил нэг функцийн энгийн алдаа нь бүхэл системийн аюулгүй байдлыг алдагдуулж болзошгүй хар толбо үүсгэдэг. Эндээс л модульчлагдсан бизнесийн үйлдлийн систем болох Mewayz-ийн цаадах философи нь гайхалтай хувилбарыг танилцуулж байна. Салангид, сольж болох модулиудтай системийг зохион бүтээснээр бизнесүүд системийн уналтад орох эрсдэлгүйгээр бие даасан бүрэлдэхүүн хэсгүүдийг аудит, турших, шинэчлэхэд хялбар болгож, функцийг тусгаарлаж чадна.

Орчин үеийн програм хангамж хөгжүүлэх хичээлүүд

PSpice-ийн алдаа нь хэлхээний симуляцийн программ хангамжаас хол давсан хэд хэдэн чухал хичээлүүдийг заадаг:

• Дахин давтагдах аюул: Кодыг хуулж буулгах нь алдаа гаргадаг алдартай эх сурвалж юм. Давхардал бүр нь ирээдүйн зөрүү болон алдааг нэвтрүүлэх боломжит цэг юм.
• Нэгжийн туршилтыг тохиролцох боломжгүй: AES шифрлэлтийн функцийн нэгжийн иж бүрэн тест нь мэдэгдэж байгаа баталгаажуулсан векторуудын гаралтыг шалгавал үүнийг шууд олж мэдэх болно.
• Код хянах нь системийг хэмнэдэг: Хоёрдахь хос нүд, ялангуяа аюулгүй байдлын чухал хэсгүүдэд байгаа нь алдаа илрүүлэх хамгийн үр дүнтэй механизмуудын нэг юм.
• Ухаалаг байдлаас илүү энгийн байдал: 14 тойрогт зориулсан энгийн, тодорхой гогцоо нь хуваагдмал блок бүтэцтэй харьцуулахад алдаа багатай байх байсан.

"Энэ эмзэг байдал нь криптосистемийн хүч чадал нь зөвхөн алгоритмын математикт төдийгүй түүний хэрэгжилтийн зөв байдалд байдгийг харуулж байна. Код дахь нэг удаагийн гулсалт нь AES-256-г эвдэхэд үл ялиг сул дорой байдлын түвшинд хүргэж чадна." – Аюулгүй байдлын судлаачдын шинжилгээ

Модульчлагдсан бүрэн бүтэн байдлын суурь дээр тулгуурлах

Энэ алдааны үр дагавар нь Cadence-аас маш чухал нөхөөс гаргахыг шаардаж, тоо томшгүй олон инженерийн фирмүүдийг чухал ач холбогдолтой програм хангамжаа яаралтай шинэчлэхийг албадав. Тасалдал болон болзошгүй аюулгүй байдлын эрсдэл нь чухал байсан. Өнөөдөр бизнес эрхлэгчдийн хувьд цул, хар хайрцагны програм хангамжид найдах нь үйл ажиллагааны эрсдэлийг дагуулдаг. Mewayz гэх мэт платформ нь өгөгдөл боловсруулахаас эхлээд аюулгүй байдлын протокол хүртэл бизнесийн үндсэн функцуудыг нэгдмэл үйлдлийн систем доторх бие даасан модуль болгон авч үздэг. Энэхүү архитектур нь бүрэлдэхүүн хэсэг бүрийг тасралтгүй, тусгаарлагдсан баталгаажуулах боломжийг олгодог. Хэрэв нэг модульд эмзэг байдал илэрсэн бол түүнийг бүхэлд нь бизнесийн ажлын урсгалыг задлахгүйгээр нөхөж эсвэл сольж болно. Нэг ёсондоо Mewayz нь "хуулбар буулгах алдаа" нь байгууллагын түвшний хямрал болохоос сэргийлж, таны бизнесийн логикийн бүрэн бүтэн байдлыг ганцхан, энгийн алдаанаас хэзээ ч зөрчихгүй байхыг баталгаажуулдаг цэвэр, засвар үйлчилгээ хийх боломжтой, аудит хийх боломжтой програм хангамжийн дизайныг дэмждэг.

Байнга асуудаг асуултууд

PSpice AES-256 шифрлэлтийг эвдсэн хуулж буулгах алдаа

Програм хангамж хөгжүүлэлтийн ертөнцөд хамгийн чухал эмзэг байдал нь алгоритмын нарийн төвөгтэй алдаанаас биш, харин энгийн хүний хяналтаас үүдэлтэй байдаг. Cadence-ийн салбарын стандартын хэлхээний симуляцийн программ хангамж болох PSpice-ээс олж илрүүлсэн ноцтой алдаа нь энэ үнэнийг тод сануулсан юм. Бат бөх AES-256 шифрлэлтийн алгоритмыг хэрэгжүүлэх явцад гарсан алдаа нь энгийн, энгийн гарал үүсэлтэй байсан: хуулж буулгах алдаа. Энэхүү үйл явдал программ хангамжийн инженерчлэлийн бүх нийтийн сорилтыг онцолж, Mewayz гэх мэт модульчлагдсан, аудит хийх боломжтой платформууд яагаад уян хатан бизнесийн системийг бий болгоход зайлшгүй шаардлагатай болж байгааг онцлон тэмдэглэв. Энэ алдааны түүх бол кодыг хуулбарлах далд зардал болон цул програм хангамжийн архитектурын эмзэг байдлын тухай сэрэмжлүүлэг юм.

Криптографийн сүйрлийн анатоми

Алдааг PSpice-н шифрлэлтийн функцүүдэд ашигладаг `cryptlib` криптографийн сангаас олсон. Үндсэндээ Нарийвчилсан шифрлэлтийн стандарт (AES) нь боловсруулалтын олон үе шатанд ажилладаг. AES-256-ийн хувьд ийм төрлийн 14 тойрог байдаг. Тойрог бүр нь түлхүүр өргөтгөл гэж нэрлэгддэг процессоор дамжуулан анхны шифрлэлтийн түлхүүрээс гаргаж авсан тодорхой "дугуй түлхүүр" шаарддаг. Хөгжүүлэгчийн даалгавар бол эдгээр 14 тойргийг хэрэгжүүлэх гогцоо бичих явдал байв. Гэсэн хэдий ч цэвэр, давтагдах давталтын оронд код нь бараг ижил хоёр блокоор бүтэцлэгдсэн: нэг нь эхний есөн тойрог, нөгөө нь сүүлийн таван тойрогт зориулагдсан. Хуулах, буулгах үйл ажиллагааны явцад орлуулах алхамыг гүйцэтгэдэг кодын чухал мөрийг санамсаргүйгээр хоёр дахь блокоос хассан. Энэ нь шифрлэлтийн сүүлийн таван үе шатанд AES алгоритмын чухал хэсгийг зүгээр л алгасаж, шифрлэлтийг сүйрлийн байдлаар сулруулсан гэсэн үг юм.

Яагаад цул кодбитууд нь алдаануудыг үржүүлдэг вэ?

Энэ алдаа олон жилийн турш үл анзаарагдав, учир нь энэ нь өргөн уудам, цул кодын санд оршдог байсан. Ийм орчинд "cryptlib" гэх мэт нэг модуль нь програмын материалд нягт сүлжмэл байдаг тул тусгаарлагдсан туршилт, баталгаажуулалтыг хийхэд хэцүү болгодог. Шифрлэлтийн тойргийн логик нь бие даасан, амархан туршиж болох нэгж биш, харин илүү том оньсогоны хэсэг байв. Энэхүү модульчлэлийн дутагдал нь байгууллагын програм хангамжийн эрсдэлт хүчин зүйл юм. Энэ нь нэг алдаатай бүрэлдэхүүн хэсэг нь нарийн төвөгтэй үйлдвэрлэлийн шугамыг зогсоож чаддагтай адил нэг функцийн энгийн алдаа нь бүхэл системийн аюулгүй байдлыг алдагдуулж болзошгүй хар толбо үүсгэдэг. Mewayz шиг модульчлагдсан бизнесийн үйлдлийн системийн цаадах философи энд л гайхалтай хувилбарыг танилцуулж байна. Салангид, сольж болох модулиудтай системийг зохион бүтээснээр бизнесүүд системийн уналтад орох эрсдэлгүйгээр бие даасан бүрэлдэхүүн хэсгүүдийг аудит, турших, шинэчлэхэд хялбар болгож, функцийг тусгаарлаж чадна.

Орчин үеийн програм хангамж хөгжүүлэх хичээлүүд

PSpice-ийн алдаа нь хэлхээний симуляцийн программ хангамжаас хол давсан хэд хэдэн чухал хичээлүүдийг заадаг:

Модульчлагдсан бүрэн бүтэн байдлын суурь дээр тулгуурлах

Энэ алдааны үр дагавар нь Cadence-аас маш чухал нөхөөс гаргахыг шаардаж, тоо томшгүй олон инженерийн фирмүүдийг чухал ач холбогдолтой програм хангамжаа яаралтай шинэчлэхийг албадав. Тасалдал болон болзошгүй аюулгүй байдлын эрсдэл нь чухал байсан. Өнөөдөр бизнес эрхлэгчдийн хувьд цул, хар хайрцагны програм хангамжид найдах нь үйл ажиллагааны эрсдэлийг дагуулдаг. Mewayz гэх мэт платформ нь өгөгдөл боловсруулахаас эхлээд аюулгүй байдлын протокол хүртэл бизнесийн үндсэн функцуудыг нэгдмэл үйлдлийн системийн бие даасан модуль болгон авч үздэг. Энэхүү архитектур нь бүрэлдэхүүн хэсэг бүрийг тасралтгүй, тусгаарлагдсан баталгаажуулах боломжийг олгодог. Хэрэв нэг модульд эмзэг байдал илэрсэн бол түүнийг бүхэлд нь бизнесийн ажлын урсгалыг задлахгүйгээр нөхөж эсвэл сольж болно. Нэг ёсондоо Mewayz нь "хуулбар буулгах алдаа" нь байгууллагын түвшний хямрал болохоос сэргийлж, таны бизнесийн логикийн бүрэн бүтэн байдлыг ганцхан, энгийн алдаанаас хэзээ ч зөрчихгүй байхыг баталгаажуулдаг цэвэр, засвар үйлчилгээ хийх боломжтой, аудит хийх боломжтой програм хангамжийн дизайныг дэмждэг.