Google釋出可找出加密演算法漏洞的Wycheproof專案

william77

Wycheproof專案沿用了軟體工程師以單元測試來修補及預防臭蟲的手法，可偵測已知漏洞或檢查加密演算行為的單元測試，可用來測試大多數的加密演算法，包含RSA、橢圓曲線加密及認證加密等。

Google繼12月初釋出可檢測開放源碼軟體錯誤的測試專案OSS-Fuzz之後，再於本周發表了專門用來檢驗加密函式庫漏洞的Wycheproof專案（Project Wycheproof）。
Wycheproof專案並非為Google的官方產品，而是由Google Security負責開發與維護的專案 ，可根據已知的攻擊檢測各種加密函式庫。
Google Security說明，Google仰賴許多第三方的加密軟體函式庫，但在密碼學中，即使只是很小的錯誤都可能帶來災難性的後果，許多函式庫經常且長期落入這樣的實施陷阱中，然而，好的實施指南並不容易實現，要理解如何安全地實施密碼得先消化數十年的學術文獻。
Wycheproof專案沿用了軟體工程師以單元測試來修補及預防臭蟲的手法，集結了各種可偵測已知漏洞或檢查加密演算行為的單元測試，可用來測試大多數的加密演算法，包含RSA、橢圓曲線加密及認證加密等，Google的密碼學家已系統化地考察了文獻，並實施了大多數的已知攻擊，現在已有超過80種測試案例並已揭露逾40個臭蟲。
即便如此，通過該專案檢驗的密碼函式庫並不一定是百分之百安全的，因為目前它主要防範的是已知的攻擊。已被納入該專案的熱門加密演算法包括AES-EAX、AES-GCM、DH、DHIES、DSA、ECDH、ECDSA、ECIES及RSA等。
首批的檢驗是以Java撰寫，擁有通用加密介面的Java只要透過單一的測試套件就能測試不同的供應商。未來Google Security打算開發更多的測試並歡迎社群參與貢獻。

kingweison

谷歌威武！