The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

20.12.2016 16:28  Google опубликовал Wycheproof, инструментарий для проверки криптографических библиотек

Компания Google анонсировала проект Wycheproof, в рамках которого подготовлен инструментарий для выявления в различных реализациях алгоритмов шифрования известных недоработок и несоответствий с ожидаемым поведением, открывающих двери для проведения атак. Мелкие ошибки при реализации алгоритмов шифрования часто могут привести к катастрофическим последствиям, оставаясь слишком долго необнаруженными. Wycheproof рассчитан на оперативное определение подобных ошибок, которые встречаются значительно чаще, чем хотелось бы. Набор тестов написан на языке Java и распространяется под лицензией Apache 2.0.

В настоящее время в Wycheproof реализовано более 80 тестов, проверяющих на наличие более 40 видов ошибок в реализациях алгоритмов RSA, DSA, ECDH и Diffie-Hellman, таких как некорректный выбор констант для построения эллиптической кривой, повторное использование параметров в схемах формирования цифровых подписей, различные виды атак на AES-EAX, AES-GCM, DH, DHIES, DSA, ECDH, ECDSA, ECIES и RSA. Для некоторых тестов код пока не открыт, так как они проверяют уязвимости, ещё не исправленные производителями (код будет открыт после устранения связанных с ними проблем). Например, исследователями Google выявлена возможность восстановления закрытого ключа в некоторых широко распространённых реализациях DSA и ECDHC, детали данной уязвимости пока не разглашаются, но тесты уже доступны в бинарном виде.

Язык Java выбран для первого набора тестов из-за того, что Java предоставляет типовой криптографический интерфейс, что позволяет использовать одни тесты для проверки разных криптографических систем. В частности, инструментарий может применяться для проверки криптопровайдеров на базе Java Cryptography Architecture, таких как Bouncy Castle, Spongy Castle и средств шифрования из состава OpenJDK. При этом сами тесты написаны с учетом упрощения портирования на другие языки. Проект развивается командой Google Security Team, но не является официальным продуктом Google. Одним из авторов проекта является известный эксперт по криптографии Даниэль Блейхенбахер (Daniel Bleichenbacher), автор нескольких практических атак на RSA.

  1. Главная ссылка к новости (https://security.googleblog.co...)
  2. OpenNews: Доступен проект Phuctor, коллайдер RSA-ключей
  3. OpenNews: Метод определения RSA-ключей через анализ изменения разности потенциалов
  4. OpenNews: В продукте RSA BSAFE выявлена вторая проблема, связанная с кодом от АНБ
  5. OpenNews: Техника определения RSA-ключей через анализ изменения шума от компьютера
  6. OpenNews: Полпроцента используемых в Web ключей RSA испытывают проблемы с безопасностью
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: crypt, test, google
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 18:13, 20/12/2016 [ответить] [смотреть все]    [к модератору]
  • +1 +/
    Вычёпруфф??
     
  • 1.2, Аноним, 18:14, 20/12/2016 [ответить] [смотреть все]    [к модератору]
  • –2 +/
    > Wycheproof

    Проверка на ВИЧ?

     
     
  • 2.3, Аноним, 18:17, 20/12/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • –3 +/
    Справочка для любовницы :)
     
  • 1.4, Crazy Alex, 19:12, 20/12/2016 [ответить] [смотреть все]    [к модератору]
  • +3 +/
    О да, главное - к названию прицепиться.
     
     
  • 2.7, A.Stahl, 20:19, 20/12/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    Ну хоть про режим Виши не вспомнили и то хорошо:)
     
     
  • 3.12, Crazy Alex, 20:57, 20/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    А они про него знают?
     
     
  • 4.13, A.Stahl, 21:21, 20/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Аргумент...
     
  • 3.22, Аноним, 12:33, 21/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Виши Это Вишванатан Ананд который Да, режим у него был страшный, то цейтнот, т... весь текст скрыт [показать]
     
  • 2.18, Аноним, 01:32, 21/12/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Это был ответ с двойным дном, только для вас это не очевидно.
     
  • 1.5, Фуррь, 19:56, 20/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Забавно, что один из главных зондостроителей проверяет криптографические библиотеки. А найденные дырочки будут по тихому отправляться в Гугл?
     
     
  • 2.10, Аноним, 20:29, 20/12/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    Код открыт. Покажи где закладка.
     
     
  • 3.11, Аноним, 20:34, 20/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    В Java
     
     
  • 4.14, Аноним, 00:12, 21/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Код Java открыт.
     
     
  • 5.15, Аноним, 00:36, 21/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    открытость != безопасность, оракель вас уже подпустил к корыту?
     
  • 3.16, Аноним, 01:02, 21/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    А ты докажи, что ее нет.
     
     
  • 4.19, Аноним, 07:36, 21/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    ага софтверный аудит вариант смвартфонная ост вариант поисковая систем вариан... весь текст скрыт [показать]
     
  • 1.17, Аноним, 01:21, 21/12/2016 [ответить] [смотреть все]     [к модератору]  
  • +/
    А по ссылке какие-то исходники на жабе ... весь текст скрыт [показать]
     
     
  • 2.21, Аноним, 09:14, 21/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Внимательно в них гляньте, это обёртки для манипуляции блобами ... весь текст скрыт [показать] [показать ветку]
     
  • 1.20, лютый жабист__, 07:45, 21/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    Налицо мощь Java. Си быстрее, бидон лаконичнее, но побеждает тот, почти самый быстрый, почти самый удобный + со 100500 библиотеками промышленного качества.
     
     
  • 2.23, Crazy Alex, 13:43, 21/12/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    В случае джава (и там, где она применяется) побеждает тот, который самый тупой и предсказуемый. Вот и здесь - куча криптографических фреймворков, но один апи. В других языках можно выбрать API в том числе. Но да, для прототипирования инструмента для тестов - удобно.
     
  • 1.24, Аноним, 15:35, 08/02/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Еще бы такую же для выявления их в бинарном стриме...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor