Google Open-Source-Test-Suite zu finden Krypto-Bugs

Google Open-Source-Test-Suite zu finden Krypto-Bugs

Die Arbeit mit kryptografischen Bibliotheken ist schwierig, und ein einziger Implementierungsfehler kann zu ernsthaften Sicherheitsproblemen führen. Um Entwicklern zu helfen, ihren Code auf Implementierungsfehler zu überprüfen und Schwachstellen in kryptografischen Softwarebibliotheken zu finden, hat Google eine Testsuite als Teil von Project Wycheproof veröffentlicht. In der Kryptographie können subtile Fehler katastrophale Folgen haben und Fehler in Open-Source-Kryptographie-Software-Bibliotheken wiederholen sich zu oft und bleiben unentdeckt für zu lange „, schrieben die Google-Sicherheitsingenieure Daniel Bleichenbacher und Thai Duong in einem Beitrag Ankündigung des Projekts im Google Security-Blog.

Benannt nach Australiens Mount Wycheproof, dem kleinsten Berg der Welt, bietet Wycheproof Entwicklern eine Sammlung von Unit-Tests, die bekannte Schwächen in kryptographischen Algorithmen erkennen und auf erwartete Verhaltensweisen überprüfen. Der erste Satz von Tests ist in Java geschrieben, da Java eine gemeinsame kryptografische Schnittstelle hat und verwendet werden kann, um mehrere Anbieter zu testen.

Wir wissen, dass Software-Ingenieure Fehler beheben und verhindern,

Die Suite kann verwendet werden, um solche kryptografischen Algorithmen wie RSA, elliptische Kurve Kryptographie und authentifizierte Verschlüsselung, unter anderem zu testen. Das Projekt enthält auch fertige Tools zur Überprüfung von Java Cryptography Architecture-Anbietern wie Bouncy Castle und den Standardanbietern in OpenJDK. Die Ingenieure sagten, dass sie die Tests in Sätze von Testvektoren umwandeln, um den Prozess des Portierens in andere Sprachen zu vereinfachen.

Die Tests in dieser Version sind low-level und sollten nicht direkt verwendet werden, aber sie können noch für das Testen der Algorithmen gegen öffentlich bekannte Angriffe angewendet werden, sagten die Ingenieure. Beispielsweise können Entwickler Wycheproof verwenden, um zu überprüfen, ob Algorithmen anfällig für ungültige Kurvenangriffe oder voreingenommene Nonces in digitalen Signaturschemata sind.

Bisher wurden mit dem Projekt mehr als 80 Testfälle durchgeführt und 40 Sicherheitslücken identifiziert, darunter auch ein Problem, bei dem der private Schlüssel von DSA- und ECDHC-Algorithmen unter bestimmten Umständen wiederhergestellt werden konnte. Die Schwäche des Algorithmus war vorhanden, da die Bibliotheken die elliptischen Kurvenpunkte, die sie von externen Quellen erhielten, nicht prüften.

Kodierungen von öffentlichen Schlüsseln enthalten typischerweise die Kurve für den öffentlichen Schlüsselpunkt. Wenn eine solche Kodierung im Schlüsselaustausch verwendet wird, ist es wichtig, zu überprüfen, ob der öffentliche und geheime Schlüssel für die Freigabe verwendet wird ECDH-Geheimnisse verwenden die gleiche Kurve. Einige Bibliotheken scheitern diese Überprüfung, „nach den verfügbaren Dokumentationen zu tun. Kryptographische Bibliotheken können ziemlich schwierig zu implementieren, und Angreifer oft für schwache kryptografische Implementierungen zu suchen, anstatt zu versuchen, die eigentliche Mathematik zugrunde liegenden der Verschlüsselung zu brechen. Mit Wycheproof können Entwickler und Benutzer ihre Bibliotheken auf zahlreiche bekannte Angriffe überprüfen, ohne durch akademische Papiere graben zu müssen, um herauszufinden, welche Art von Angriffen sie brauchen, um sich Sorgen zu machen.

Die Ingenieure schauten durch die öffentliche kryptografische Literatur und implementierten bekannte Angriffe, um die Testsuite zu bauen. Jedoch sollten Entwickler die Suite nicht als umfassende oder in der Lage, alle Schwächen zu erkennen, da neue Schwächen immer entdeckt und offenbart werden.

Das Projekt Wycheproof ist keineswegs vollständig .

Wycheproof kommt zwei Wochen, nachdem Google einen Fuzzer veröffentlicht hat, um Entwicklern zu helfen, Programmierfehler in Open Source Software zu entdecken. Wie OSS-Fuzz, ist der gesamte Code für Wycheproof auf GitHub verfügbar. OSS-Fuzz ist noch in der Beta, aber es hat bereits durch 4 Billionen Testfälle gearbeitet und enthüllte 150 Bugs in Open-Source-Projekte, da es öffentlich bekannt gegeben wurde.

Diese Geschichte, „Google Open-Source-Test-Suite, um Krypto-Bugs zu finden“ wurde ursprünglich von InfoWorld veröffentlicht.

q , q

Zusammenhängende Posts:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.