Das Problem: Verschlüsselung zum Schutz vertraulicher Daten ist mittlerweile ein Kernbestandteil der meisten Web-Anwendungen. Dennoch werden diese Informationen häufig uncodiert abgelegt. Wo Verschlüsselung vorhanden ist, weist sie oft erhebliche Designschwächen auf. Probleme bereitet es laut Owasp unter anderem, wenn eigenentwickelte Algorithmen eingesetzt, starke Algorithmen unfachgemäß oder bekanntermaßen schwache Algorithmen wie MD5, SHA-1 und RC3/4 weiterhin verwendet werden. "Diese Fehler können die Offenlegung sensibler Daten sowie Verstöße gegen Compliance-Vorschriften zur Folge haben", so der Report.
Beispiel: Für Schlagzeilen sorgte in diesem Kontext der besagter Datenverlust bei TJX. Für den Datenabfluss verantwortlich war nach einer Untersuchung der kanadischen Regierung das Versäumnis des Unternehmens, seine Datenverschlüsselungslösung auf den neuesten Stand zu bringen, und damit seit Juli 2005 ein Ziel für elektronische Lauschangriffe zu bieten.
Basis-Schutz: Laut Owasp ist vom Einsatz selbst gebastelter beziehungsweise schwacher Verschlüsselungsalgorithmen dringend abzuraten. Ferner sollten Schlüssel generell offline erzeugt und private Keys nur über abgesicherte Kanäle übermittelt werden.
