Google lança ferramenta para ajudar os desenvolvedores a encontrar bugs de criptografia
O Google lançou esta semana uma nova ferramenta chamada Project Wycheproof, que é um conjunto de testes automatizados que os desenvolvedores podem executar em seu código e identificar fragilidades ou problemas nas seções que lidam com operações de criptografia.
Projeto Wycheproof está atualmente disponível no GitHub e inclui mais de 80 testes de unidade internos que desenvolvedores podem rodar para a direita fora da caixa.
Codificados em Java, os testes Wycheproof do Projeto cobrem alguns dos algoritmos de criptografia mais importantes e mais usados atualmente, tais como:
AES-EAX
AES-GCM
DH
DHIES
DSA
ECDH
ECDSA
ECIES
RSA
AES-GCM
DH
DHIES
DSA
ECDH
ECDSA
ECIES
RSA
Como as bibliotecas criptográficas não são nada mais do que um código que implementa um determinado algoritmo de criptografia de dados, os erros muitas vezes encontram seu caminho dentro dele, na maioria dos casos devido a erro humano.
A captura de erros no código é muitas vezes tratada através de testes de unidade, um procedimento automatizado para encontrar seções de código problemático. Project Wycheproof não é nada mais do que uma coleção de testes de unidade especificamente adaptados para encontrar bugs de criptografia que levam a certos vetores de ataque.
As suítes de teste cobrem uma série de vetores de ataque comuns em implementações de algoritmos criptográficos, como ataques de curva inválidos, desvantagens de esquemas de assinatura digital, ataques de Bleichenbacher e muito mais.
O projeto Wycheproof é destinado a especialistas não criptográficos
"Entender como implementar criptografia segura requer digerir valor da literatura acadêmica" décadas ", afirmou o Google . "Com o Project Wycheproof os desenvolvedores e usuários agora podem verificar suas bibliotecas contra um grande número de ataques conhecidos sem ter que passar por centenas de artigos acadêmicos ou se tornarem criptógrafos".
O Google diz que seus engenheiros usaram o Projeto Wycheproof para descobrir até 40 bugs de segurança em projetos como OpenSSL, Bouncycastle, as bibliotecas de criptografia do JDK e outros.
Como o projeto foi aberto no GitHub, o Google espera que os pesquisadores contribuam com novos testes para expandir seu espectro de testes.
"A principal motivação para o projeto é ter um objetivo realizável", disse o Google. "É por isso que o nomeamos depois da Mount Wycheproof, a menor montanha do mundo. Quanto menor a montanha, mais fácil é escalá-la!"