Joven hacker sonriendo

Hackeamos su software

cero falsos positivos

Inteligencia experta + automatización eficaz

REQ.146 Establecer tiempo a las llaves

En el presente documento se detallan los requerimientos de seguridad relacionados a la importancia de establecer el tiempo de vida en memoria de las llaves criptográficas gestionadas por un determinado sistema. Se recomienda que es estas no permanezcan en la RAM por un tiempo superior a 5 segundos.

Requisito

Las llaves criptográficas deben permanecer en RAM máximo 5 segundos.

Referencias

  1. OWASP-ASVS v3.1-1.12 Verificar que exista una política explícita sobre cómo administrar las claves criptográficas (si las hay) y se impone el ciclo de vida de las claves criptográficas. Idealmente, seguir un estándar de gestión de claves como NIST SP 800-57

  2. OWASP-ASVS v3.1-7.9 Verificar que exista una política explícita para la administración de llaves criptográficas (por ejemplo: generación, distribución, llaves revocadas y expiradas). Verificar que el ciclo de vida de la llave se aplique adecuadamente.

  3. OWASP-ASVS v3.1-7.13 Verificar que las contraseñas sensibles o material de llaves mantenidos en memoria sean sobreescritas con ceros cuando ya no sean necesarios, para mitigar ataques de memory dumpling.

  4. OWASP-ASVS v3.1-9.11 Verificar que la información mantenida en memoria sea sobreescrita con ceros cuando ya no sea necesaria, para mitigar ataques de vaciado de memoria.


Estado de los servicios - Términos de Uso