谷歌的安全专家开发了一个测试套件,允许开发人员发现他们的密码库和实现中的弱点。
该公司的Wycheproof项目在GitHub上发布,包含80多个广泛使用的密码算法测试用例,包括RSA、AES-GCM、AES-EAX、Diffie-Hellman、椭圆曲线Diffie-Hellman (ECDH)和数字签名算法(DSA)。
谷歌的研究人员通过实现一些最常见的密码攻击来开发这些测试。到目前为止,这些测试已经帮助他们发现了密码库中的40多个安全漏洞,并且已经向受影响的供应商报告了这些漏洞。
谷歌的安全工程师Daniel Bleichenbacher和Thai Duong在一份博客.“然而,很难找到好的实施指南:理解如何安全地实施密码学需要消化数十年的学术文献。”
谷歌研究人员希望通过公开发布这些测试,开发人员和用户都可以测试他们创建或使用的加密实现。一些加密库很流行,包括在许多商业产品中,或在企业应用程序中使用。
到目前为止发布的测试都是用Java编写的,但是谷歌的研究人员正在努力将它们转换成测试向量,这样它们就可以很容易地移植到其他编程语言上。
通过Project Wycheproof测试并不意味着库是安全的,没有任何缺陷,但至少它可以用来建立一个基线,使代码免受最常见的攻击。