3 коментариев
Поделиться статьей:

Project Wycheproof - как выявить распространенные проблемы в криптографических библиотеках ПО

Alla Rud 23.12.2016 3 1636 на прочтение 3 минут

Компания Google представила свой новый проект под названием Project Wycheproof, который назван в честь самой маленькой горы в мире в Австралии. Это символизирует реалистичность и достижимость разработчиками поставленной цели, ведь “чем меньше гора, тем проще на неё забраться!”.

Project_Wycheproof

Project Wycheproof разработан для того, чтобы позволить веб-специалистам создавать более безопасное программное обеспечение. Это набор определенных модульных тестов, которые помогают найти распространённые слабые места криптографических библиотек ПО. В общем разработано более 80 специальных тестов, которые находят 40 уязвимостей. К примеру, можно сделать восстановление приватного ключа широко применяемых реализаций алгоритмов DSA и ECDHC. Компания, в том числе, предлагает готовые инструменты для проверки Bouncy Castle и других провайдеров (например, провайдеров в OpenJDK) фреймворка Java Cryptography Architecture.

Цель Project Wycheproof - сделать процесс исправления ошибок по безопасности более простым и легким для программистов.

Незначительные криптографические ошибки могут привести к плохим последствиям. Поэтому для их обнаружения уходит много времени и сил, так как подобные ошибки часто повторяются. Подобные проблемы и вдохновили разработчиков Google на создание Project Wycheproof. Project Wycheproof может предоставить тесты для большинства криптографических алгоритмов, включая RSA, эллиптическую криптографию и AEAD-режимы блочного шифрования.

Из-за того, что Java имеет простой криптографический интерфейс, первые тесты были проведены именно на нем. Это дало возможность использовать одни и те же наборы тестов для тестирования разных провайдеров. Существующий набор тестов хотя и на Java, но, судя по формулировкам в пресс-релизе, проект будет развиваться дальше. Потому что новые уязвимости и проблемы находятся постоянно и тесты по их поиску будут добавляться в набор инструментов. На данный момент проект распространяется под лицензией Apache 2.0.

Но разработчики также предупреждают, что успешное прохождение тестов вовсе не означает, что библиотека хорошо защищена. Однако это значит, что она не уязвима к атакам, которые Project Wycheproof может найти. Ведь криптографы постоянно обнаруживают новые уязвимости в криптографических протоколах. Но все-таки благодаря Project Wycheproof разработчики и даже обычные пользователи могут проверять свои библиотеки на наличие популярных и широко распространенных уязвимостей. И для этого им не понадобится перечитывать академическую литературу или становиться специалистом в сфере криптографии.

Для того, чтобы более детально ознакомиться с проектом, перейдите на официальную страницу на github. Для использования необходимо установить инструмент для сборки с открытым кодом от компании Google - Bazel.

Как определить, что Ваш сайт находится под фильтрами Google?

Нужен качественный и стабильный хостинг для сайта? Обращайтесь в ГиперХост!

 


Close Screen
Alla Rud
Статей: 574
Оцените статью:


Спасибо за отзыв
Рейтинг: 5 из 5 Голосов: 6