你不应该推出自己的加密货币：一项实证研究

下载 PDF 摘要：互联网的安全依赖于少数开源密码库：其中任何一个的漏洞都可能危及很大比例的网络流量。尽管存在这种潜在的安全影响，但对加密软件中漏洞的特征和原因还不是很了解。在这项工作中，我们对密码库和影响它们的漏洞进行了首次综合分析。我们从国家漏洞数据库、单个项目存储库和邮件列表以及八个广泛使用的密码库的其他相关来源收集数据。我们最有趣的发现是，密码库中只有 27.2% 的漏洞是密码问题，而 37.2% 的漏洞是内存安全问题，这表明系统级错误比实际的密码程序更具有安全隐患。在我们对这些漏洞的原因的调查中，我们发现这些库的复杂性与其（不）安全性之间存在强相关性的证据，从经验上证明了臃肿的加密代码库的潜在风险。我们进一步将我们的发现与非密码系统进行比较，观察到这些系统确实比类似的系统更复杂，而且这种过度的复杂性似乎比非密码软件在密码库中产生了更多的漏洞。