Protocol-Analysis
發現密碼協議中的缺陷
如果您發現例如 Linux 核心中的缺陷或錯誤,您可以在 GitHub 中創建問題,或者如果您可以解決它,您可以貢獻。
尋找密碼協議的缺陷怎麼樣?!
- 您如何報告或標記問題?
- 如果你能修復它,是否有可能做出貢獻?
如果您發現例如 Linux 核心中的缺陷或錯誤,您可以在 GitHub 中創建問題,或者如果您可以解決它,您可以貢獻。尋找密碼協議的缺陷怎麼樣?!
協議與 GitHub 上的 linux 核心等軟體的具體實現略有不同。它更接近於許多不同實現可能遵循的規範。
- 您如何報告或標記問題?
- 如果你能修復它,是否有可能做出貢獻?
這取決於協議是已部署和使用的協議,例如 TLS,還是僅在學術上提出的協議。
如果它是一個理論學術協議,您將創建一篇論文討論該協議的攻擊或相關缺點,並酌情發布。
如果有問題的協議實際上在現實世界中使用,那麼您會找到該協議的作者是誰,並私下給他們發電子郵件。您向誰發送電子郵件可能會因情況而異:公司、個人實施者和標準機構都可能是相關的。嘗試查找白皮書/RFC/工作組/等,以找到合適的聯繫人。
請務必包含電子郵件:
- 詳細描述問題到底是什麼
- 誰受到影響
- 問題有多嚴重
- 問題存在多長時間
- 攻擊的實現(又名概念證明)
- 關於如何解決問題的建議
漏洞報告和披露可以有多種正交方法,供應商的反應可能會有所不同。如果它是像 TLS 這樣廣泛使用的協議,那麼你的方法和響應可能與 GitHub 上的一些隨機個人項目有很大不同。