导语:周一,谷歌发布了加密测试套件——Wycheproof,这款加密套件包括了一系列安全测试,用来检测加密库(cryptographic libraries)软件是否存在各种已知漏洞。
周一,谷歌发布了加密测试套件——Wycheproof,这款加密套件包括了一系列安全测试,用来检测加密库(cryptographic libraries)软件是否存在各种已知漏洞。这些软件负责对存储于设备、或互联网上传输的数据进行加密。经过测试, Wycheproof 可以对当前多种加密算法进行漏洞检测包括RSA,AES和DSA,截止目前Wycheproof总共进行了80 项测试,并且已能检测出逾 40 种安全漏洞。Google的安全工程师Daniel Bleichenbacher和Thai Duong是这样评价这个工具的:
在密码学中,微妙的错误就可能带来灾难性的后果,而在那些开源加密软件库中的错误不但经常重复,并且长时间还不能被发现。为了快速的对这些加密工具进行修复和漏洞检测,我们发现了其实现许多加密问题都可以通过相同的方式解决,于是Project Wycheproof就诞生了。
实现对密码的安全检测
Google 认为对密码进行安全检测是一个可实现的目标,而 “Wycheproof” 是澳大利亚的一座小山头,代表了Google有信心解决这个小问题。当然,Google 希望外部人员也能参与进来,让这个检测软件更加实用。
因为加密库是个比较复杂的安全工具,一般人员很难发现其中的安全漏洞,Google的工程师设计Wycheproof的目的就是为了帮助大众在不必了解密码学的情况下轻松地实现加密库的保护。
Google的工程师在Wycheproof测试中就发现了ECDH中存在着一个可以让攻击者在特定情况下恢复私钥的漏洞,ECDH是基于ECC(Elliptic Curve Cryptosystems,椭圆曲线密码体制,参看ECC)的DH( Diffie-Hellman)密钥交换算法
而一些加密库就没有对ECDH的这个漏洞就行检测。
不过Google的安全工程师Daniel Bleichenbacher和Thai Duong提示大家:“通过 Wycheproof 测试不代表加密库就彻底安全了,它无法针对所有黑客技术,尤其是尚未引起安全专家注意的新手段。”通过 Wycheproof 只代表它能防范常见黑客攻击。
不过有了 Wycheproof 工具,开发者们就可以快速测试他们的加密库能否应对各种已知黑客手段,这能节省大量时间。