• 未明確約定協議底層使用的算法名稱及參數

• 擅自修改數據接口及數據格式

• 簡化使用標準所規定的密碼協議

• 大量的SSL軟件并沒有正確地驗證網絡實體與公鑰／數字證書的綁定關系，在數字證書驗證過程中沒有檢查根證書配置和實體身份標識，在這種情況下，即使啟用了SSL協議，仍然會存在中間人攻擊的風險

• ……

03 密碼技術被誤用

如果相關單位對密碼應用缺乏技能和經驗，不清楚合規性要求，不了解密碼算法的類型、協議參與方的角色要求、關鍵參數的類型和規模等基本知識，錯誤調用密碼技術，就會不可避免地產生安全漏洞。

常見案例:

棄用、亂用、誤用密碼技術都將導致安全問題。因此，合規、正確、有效使用密碼技術是信息系統責任單位、應用開發商等相關主體必須學習并熟練掌握的基本能力。同時也必須認識到，只有責任單位、應用開發商等相關主體了解、提煉實際安全需求，才能在其使用密碼技術建設安全應用的過程中有機會做到“正確規范”。

以某應用中需要“抗抵賴簽名”為例，關鍵信息包括簽名者的身份、簽署內容的類型、具體的數據格式及驗簽者的身份等。這些與實際應用密切相關的細節信息，是密碼技術自身所不能掌握的。信息系統責任單位務必與相關主體深入溝通，明確此類細節，提煉安全需求，從而為正確規范使用密碼技術做好準備。

合規、正確、有效使用密碼，使用自主、安全、可控的密碼，才能有力護航國家安全和經濟社會發展，有力保障公民合法權益和個人隱私。

——部分內容摘錄自《商用密碼應用與安全性評估》