MASTG-TEST-0062: Testando Key Management

Deprecated Test

This test is deprecated and should not be used anymore. Reason: Nova versão disponível no MASTG V2

Please check the following MASTG v2 tests that cover this v1 test:

• Uso de Hardcoded Cryptographic Keys em Código
• Chaves Criptográficas Embarcadas em Arquivos

Visão Geral

Análise Estática

Existem várias palavras-chave a serem procuradas: verifique as bibliotecas mencionadas na visão geral e na análise estática da seção "Verificando a Configuração de Algoritmos Criptográficos Padrão" para identificar quais palavras-chave você pode utilizar para verificar como as chaves são armazenadas.

Sempre certifique-se de que:

• as chaves não sejam sincronizadas entre dispositivos se forem usadas para proteger dados de alto risco.
• as chaves não sejam armazenadas sem proteção adicional.
• as chaves não sejam codificadas de forma fixa (hardcoded).
• as chaves não sejam derivadas de características estáveis do dispositivo.
• as chaves não sejam ocultadas pelo uso de linguagens de nível inferior (por exemplo, C/C++).
• as chaves não sejam importadas de locais inseguros.

Consulte também a lista de problemas comuns de configuração criptográfica).

A maioria das recomendações para análise estática já pode ser encontrada no capítulo "Testando o Armazenamento de Dados para iOS". Em seguida, você pode ler mais sobre o assunto nas seguintes páginas:

• Documentação do Apple Developer: Certificados e chaves
• Documentação do Apple Developer: Gerando novas chaves
• Documentação do Apple Developer: Atributos de geração de chaves

Análise Dinâmica

Utilize hooking em métodos criptográficos e analise as chaves que estão sendo usadas. Monitore o acesso ao sistema de arquivos enquanto operações criptográficas são realizadas para avaliar onde o material da chave é escrito ou lido.