我使用学生账户和自建统计框架审计 IBM 大型机安全，发现 50 条问题

发布: 3天前 (2026年2月25日 GMT+8 00:00)

2 分钟阅读

Source: Dev.to

概览

IBM z/OS 主机处理约 87 % 的全球信用卡交易。保护这些系统的密码散列系统——RACF Legacy DES——的有效熵仅为 42.17 比特，而非宣传的 56 比特。在该熵水平下，使用消费级 GPU 可在 ≈7.6 分钟 内破解散列，成本约 $0.08。

熵测量已在真实的 IBM z15 上运行 z/OS V2.5 进行逐位验证。模型在 4 次中的 4 次 与生产实现完全匹配。

所有发现均使用 标准学生账户 获得——未使用漏洞、未进行特权提升——仅通过应用统计框架（CASI，IEEE 同行评审，ICECET 2026）并分析系统自身输出完成。

总发现数： 50（记录在 15 页的技术报告中）
每项发现所需的修复已在 z/OS 中存在：
- KDFAES（自 2007 年起可用）
- AT‑TLS、MQ SSL、ICSF 授权——每项均可通过一次配置更改解决

问题不在于缺乏能力，而是配置缺口。

已向 IBM PSIRT 发起披露。