Компания Google представила набор тестов Wycheproof
В официальном блоге компании Google, посвященному информационной безопасности, был представлен новый проект компании под названием Wycheproof.
Мы рады объявить о запуске проекта Wycheproof — наборе тестов безопасности, которые проверяют криптографические библиотеки ПО на известные уязвимости. Мы разработали более 80 тестов для разных случаев, благодаря которым обнаружили более 40 ошибок безопасности. Например, мы обнаружили, что могли бы восстановить private-key DSA и ECDHC. Также мы добавили готовые к использованию инструменты для проверки Java Cryptography Architectire, который предлагают, например, Bouncy Castle или OpenJDK.
В блоге отмечается, что название проекта было выбрано не просто так. Wycheproof — самая маленькая гора в мире, что символизирует реалистичность и достижимость поставленной разработчиками задачи, с которой они успешно справились.
К разработке проекта авторов побудило наблюдение, что open source-библиотеки часто имеют криптографические уязвимости, которые могут не выявляться годами. При этом они представляют серьезную угрозу безопасности. В итоге был создан продукт, который проверяет большинство алгоритмов, например RSA, AES и АСС.
При этом авторы проекта заостряют внимание на том, что: «прохождение тестов не означает, что библиотека является безопасной. Это просто означает, что она не является уязвимой к атакам, на которые ее тестирует Wycheproof. Криптографы постоянно находят новые слабые места в протоколах шифрования».
Разработка инженеров Google позволит их коллегам по всему миру проверять используемые библиотеки в автоматическом режиме. Это актуально и не только по причине удобства: для четкого понимая принципов шифрования при помощи тех или иных алгоритмов требуется огромная академическая база и годы на ее изучение и практику. Фактически, уязвимость в шифровании, не замеченную ранее, но опасную, могут обнаружить только высококлассные специалисты в данной узкой области.
Исходя из анонса в блоге Google, Wycheproof продолжит свое развитие. Новые уязвимости находят постоянно и тесты по их поиску будут добавляться в набор инструментов. Также проект размещен в свободный доступ на Github.