Google繼12月初釋出可檢測開放源碼軟體錯誤的測試專案OSS-Fuzz之後,再於本周發表了專門用來檢驗加密函式庫漏洞的Wycheproof專案(Project Wycheproof)。

Wycheproof專案並非為Google的官方產品,而是由Google Security負責開發與維護的專案 ,可根據已知的攻擊檢測各種加密函式庫。

Google Security說明,Google仰賴許多第三方的加密軟體函式庫,但在密碼學中,即使只是很小的錯誤都可能帶來災難性的後果,許多函式庫經常且長期落入這樣的實施陷阱中,然而,好的實施指南並不容易實現,要理解如何安全地實施密碼得先消化數十年的學術文獻。

Wycheproof專案沿用了軟體工程師以單元測試來修補及預防臭蟲的手法,集結了各種可偵測已知漏洞或檢查加密演算行為的單元測試,可用來測試大多數的加密演算法,包含RSA、橢圓曲線加密及認證加密等,Google的密碼學家已系統化地考察了文獻,並實施了大多數的已知攻擊,現在已有超過80種測試案例並已揭露逾40個臭蟲。

即便如此,通過該專案檢驗的密碼函式庫並不一定是百分之百安全的,因為目前它主要防範的是已知的攻擊。已被納入該專案的熱門加密演算法包括AES-EAX、AES-GCM、DH、DHIES、DSA、ECDH、ECDSA、ECIES及RSA等。

首批的檢驗是以Java撰寫,擁有通用加密介面的Java只要透過單一的測試套件就能測試不同的供應商。未來Google Security打算開發更多的測試並歡迎社群參與貢獻。


Advertisement

更多 iThome相關內容