MASTG-TEST-0062 鍵管理のテスト (Testing Key Management)

概要

静的解析

探すべきさまざまなキーワードがあります。鍵がどのように格納されているかを最もよく確認できるキーワードについては「暗号標準アルゴリズムの構成の検証」セクションの概要と静的解析で言及されているライブラリをチェックします。

常に以下のことを確認します。

• 鍵がデバイス間で同期されていないこと (リスクの高いデータを保護するために使用される場合) 。

• 鍵が追加の保護なしで保存されていないこと。

• 鍵がハードコードされていないこと。

• 鍵がデバイスの固定機能から導出されたものではないこと。

• 鍵が低レベル言語 (C/C++ など) の使用により隠されていないこと。

• 鍵が安全でない場所からインポートされていないこと。

よくある暗号化設定の問題のリスト も確認してください。

静的解析に関する推奨事項のほとんどは「iOS のデータストレージのテスト」の章にすでに記載されています。次に、以下のページで読むことができます。

• Apple 開発者ドキュメント: 証明書と鍵

• Apple 開発者ドキュメント: 新しい鍵の生成

• Apple 開発者ドキュメント: 鍵生成属性

動的解析

暗号メソッドをフックし、使用している鍵を解析します。暗号操作が実行される際にファイルシステムへのアクセスを監視し、鍵マテリアルが書き込み先や読み取り元を評価します。