谷歌研究人员有助于测试加密缺陷

2021-11-21 09:46:12来源:

谷歌的安全专家开发了一个测试套件,允许开发人员在加密图书馆和实现中找到缺点。

该公司在Github上发布的Project WycheProof包含超过80个广泛使用的加密算法的测试用例,包括RSA,AES-GCM,AES-EAX,Diffie-Hellman,椭圆曲线Diffie-Hellman(ECDH),以及数字签名算法(DSA)。

谷歌的研究人员通过实施一些最常见的加密攻击来开发了这些测试。到目前为止,测试有助于他们在加密库中发现了超过40个安全错误,并已向受影响的供应商报告。

“在加密学中,微妙的错误可能会有灾难性的后果,并且在开源加密软件库中的错误经常重复并保持过长,”谷歌安全工程师Daniel Bleichenbacher和Thai duong在博客文章中写道。但是,良好的实施指南难以通过:了解如何安全地实施密码学需要消化数十年“的学术文学”。

谷歌研究人员希望通过公开发布这些测试,开发人员和用户可以测试他们创建或使用的加密实现。一些加密图书馆是流行的,包括在许多商业产品中或用于企业应用程序。

到目前为止发布的测试是用Java编写的,但谷歌研究人员正在努力将它们转换为测试向量,以便可以轻松移植到其他编程语言中。

通过项目WycheProof测试并不意味着库是安全的并且没有任何缺陷,但至少它可以用于建立代码受到最常见攻击的基线。


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章