你的加密代码能经受住Google的攻击吗?
E安全12月22日讯 谷歌公司发布Wycheproof项目,这款开源工具旨在针对各类已知攻击对现有高人气加密软件库进行测试。
谷歌公司推出的Wycheproof项目是一款开源加密库测试工具,意在帮助各开发团队发现当前各高人气加密软件库中的安全漏洞。
该项目在说明中指出,“Wycheproof项目针对各类已知攻击对加密库进行测试。其由谷歌安全团队负责开发与维护,但并不属于谷歌公司的官方产品。”
“在谷歌公司,我们经常使用各类第三方加密软件库。遗憾的是,立足密码学层面,任何微波的错误都有可能带来灾难性的后果,而长久以来我们发现各类加密库都存在着此类严重问题。”
Wycheproof项目完全利用Java语言开发而成,且可对当前各类高人气加密库进行测试,具体包括AES-EAX、AES-GCM、DH、DHIES、DSA、ECDH、ECDSA、ECIES以及RSA等。谷歌公司的专家们已经添加了80多种测试场景,并借此在RSA与DSA当中找到超过40项bug。
谷歌公司的研究人员们利用此单一平台涵盖了超过80项测试场景,面向各类针对加密库方案的已知攻击场景。谷歌方面希望分享自身经验,从而提升开发流程中的安全性水平。
谷歌公司指出,“Wycheproof项目得名于Mount Wycheproof(威奇普鲁夫山),即世界上最小的山峰。此项目的主要意图在于建立一个可以实现的目标。作为目标的山峰越小,成功登顶的可能性就越高。”
开发这套平台的研究人员们解释称,Wycheproof项目能够帮助他们发现其项目中所使用的各类第三方加密软件库内的bug。该测试工具已经辅助其成功找到了超过40项Bug。
谷歌公司进一步补充称,“我们设置了80多种测试场景,并借此发现超过。举例来说,我们发现可以还原得到广泛采用的DSA与ECDHC方案中的私钥。”
Wycheproof项目由谷歌安全团队负责维护,不过其并不属于谷歌公司的官方产品。这是一个开放项目,意味着每个人都能够分享其经验并将其添加至自己的测试用例当中。
只有存在漏洞的相关库的开发团队对其进行补丁修复后,维护者才会将成果添加到Wycheproof项目当中。
各位安全专家们发现的Bug将被提交至谷歌安全小组并接受审查。如果受影响软件库的维护者们建立有bug赏金项目,那么提交者还能够获得对应奖励。
Wycheproof项目地址:
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。