Google a creat un set de teste de securitate pentru identificarea defectelor de criptare

Google a creat Proiectul Wycheproof, care este alcătuit dintr-un set de teste de securitate pentru identificarea vulnerabilităților de criptare.

Google a lansat lunea trecută Proiectul Wycheproof, un set de teste de securitate care verifică vulnerabilitățile bibliotecilor de software criptografic, scrie cnet.com.

În criptografiere, au spus cei de la Google, greșelile mici pot duce la consecințe catastrofale. Proiectul vrea să oprească greșelile care se repetă prea mult în bibliotecile open source de criptare. Acest software este responsabil de criptarea și securizarea datelor așa cum sunt ele stocate pe dispozitive sau care sunt trimise folosind internetul.

Google a spus și că Proiectul Wycheproof economisește timp deoarece permite dezvoltatorilor și utilizatorilor să verifice repede atacurile la care se expun bibliotecile în loc să citească sute de pagini pentru a obține același rezultat.

Compania a spus că va accepta contribuții externe în proiect. Dacă o bibliotecă trece testele incluse în proiect nu înseamnă că este complet sigură, ci doar că nu este vulnerabilă în cazul unui atac pe care Proiectul Wycheproof îl poate detecta.

Conform sophos.com, proiectul este dezvoltat și susținut de membrii echipei de securitate a Google, dar nu este un produs oficial al companiei.

Compania a numit setul de teste, Proiect Wycheproof, după un munte din Australia, care este cel mai mic din lume, scrie eweek.com.

„Principala motivare pentru acest proiect este de a  avea un obiectiv care poate fi atins,” au explicat inginerii de securitate ai Google, Daniel Bleichenbacher și Thai Duong.„Cu cât este mai mic muntele, cu atât este mai ușor de urcat.”

Proiectul include teste pentru așa numitele atacuri „invalid curve”, slăbiciuni ale schemelor de semnături digitale și o varietate de alte exploatări. În total, Proiectul Wycheproof include teste pentru 80 de tipuri atacuri diferite asupra algoritmilor de criptare. Pentru a dezvolta fiecare test, criptografii de la Google au citit ce era disponibil și au implementat majoritatea atacurilor cunoscute asupra algoritmilor.

Testele au permis Google să descopere deja 40 de defecte de securitate în algoritmii de criptare ca Digital Signature Algorithm (DSA), Elliptic Curve Diffie-Hellman Cryptography (ECDHC). Unele defecte descoperite sunt serioase, inclusiv unul care poate fi folosit pentru a obține cheile asociate cu implementarea ECDHC și DSA.

In cadrul proiectului sunt disponibile teste pentru câțiva dintre algoritmii de criptare open source: DSA, ECDH, RSA, AES și Diffie-Hellman.