badkeys.info 安全测评
检测弱加密公钥
⚡ 评分构成
各维度得分依据公开资料与字段推算,加权后即综合评分,仅供参考。
- 覆盖多类真实世界弱密钥问题和历史高影响 CVE
- 对 RSA 弱密钥检测维度较深入,包括 GCD、ROCA、Fermat、Wiener 等
- 支持常见证书、CSR、PEM、SSH 公钥格式
- 适合单个密钥在线快速验证,也提供本地工具用于大批量检查
- 公开说明检测逻辑、漏洞背景和局限性,透明度较高
- 当前多数检测能力集中在 RSA,其他密钥类型支持有限
- 网页提示虽支持上传私钥,但生产私钥上传存在明显安全风险
- Common prime factor 等检测依赖已知集合,不能保证覆盖所有脆弱 GCD
- 正文未提供 SLA、企业支持、权限管理、审计日志等商业化能力信息
- 未披露定价、支付方式、合规认证和服务运营主体信息
深度测评
是什么
badkeys.info 是一个用于检查加密公钥是否存在已知漏洞的服务。它支持 X.509 证书、CSR、PEM 公钥和私钥、PKCS #1、PKCS #8 以及 SSH 公钥。页面明确提醒,虽然技术上支持上传私钥,但生产私钥不应上传,这一点对安全使用非常关键。
核心能力
从防护类型看,badkeys 重点不是网络边界防护,而是密码学密钥质量与泄露风险检测。其覆盖 Debian OpenSSL bug、Common prime factor、ROCA、keypair/Gitkraken、Fermat Attack、Wiener’s Attack、Fortinet/Fortigate 泄露密钥,以及各种“Public Private Keys”。同时还会检查 DSA、小或异常 RSA 指数、小或异常 RSA 密钥长度等不推荐实践。正文显示当前多数漏洞影响 RSA,其他密钥类型未来可能扩展,因此不能视为全算法密钥安全审计平台。
部署、集成与管理
部署方式包括网页在线检查,以及 badkeys software。本地软件提供 Python library 和命令行工具,官方也建议在检查大量密钥时使用软件版本。这使其适合接入批量证书盘点、SSH Key 审计或 CI 安全脚本。管理与告警方面,正文未体现账户体系、集中控制台、告警推送、报表或审计日志,因此企业级运营能力信息不足。
定价与合规
抓取文本未披露定价、支付方式、商业支持或合规认证信息。对于需要 SLA、合同、数据处理协议或合规证明的企业用户,应在采用前进一步核实服务主体、数据处理方式和本地部署选项。
优缺点与适合谁
优点是检测维度专业,覆盖多个真实案例和 CVE,并解释了检测原理及局限。缺点是覆盖范围偏密码学弱密钥,且部分检测依赖已知集合,不能保证发现所有未知弱密钥。它适合安全研究人员、PKI/TLS 运维、证书治理团队、固件安全分析人员,以及需要排查历史弱 RSA/SSH/TLS 密钥的组织。
中国访问与替代品
中国访问情况正文未提供,评估为未知。若在线访问不稳定,建议优先使用其本地 Python/CLI 工具。替代或补充方案可包括 OpenSSL、ssh-keygen、zlint、testssl.sh、证书透明度检索平台,以及企业级证书生命周期管理和密钥管理系统。
本测评基于公开资料整理,不构成购买建议,请以 badkeys.info 官网实际信息为准。
中文卖点
可检查证书、CSR、SSH公钥已知漏洞。
官网快照
价格走势
用户评价
评分明细(分布与用户短评)接入中。当前展示 TG4G 综合评分,数据源自公开测评与用户反馈。