Google开放源测试套件用于DEVS查找加密错误
数据违规行为会影响未来的销售
Astazeneca墨水在AI推动中涉及阿里巴巴和腾讯
执行面试:穆纳西克总统Sudheesh Nair
年度赎金书成为企业的最大威胁之一
政府旨在通过2018年底完成基因组测序项目
英特尔购买自动车辆映射公司
新奥迪斯现在可以与红绿灯交谈
弹弓路由器恶意软件:为企业警告
微软仍然需要Windows手机中的音频插孔端口
工业网络安全改善,但需要工作
特洛伊狩猎说,创造安全文化以提高网络防御
Synaptics有一个新的指纹传感器,意味着更平滑的手机屏幕
伦敦加入花旗银行IT创新网络
亚马逊旨在通过消除退房线来改变零售
AirMap,Digicert为无人机发出数字证书
为什么Marissa Mayer将从雅虎的灰烬中出现
思科与启动AI健康和安全试验合作
戴尔的纬度7285是世界上第一个2合1的无线充电
兰森沃特在2017年是最受欢迎的网络犯罪工具
开源硬件制造商开始认证产品
美国最高法院留下三星 - 苹果专利裁决的差距
Qumulo文件访问混合云QF2文件系统在欧洲推出
新年为物联网供应商的决议:开始将兰斯视为敌对
在法拉第未来的工厂的位置看不到太多
面试:勃比艾格说,解决性别多样性可以解决技能差距
2016年的10个最大的用户数据黑客
为GDPR准备的三分之二的初创公司
Microsoft推送R,SQL Server集成
忘记内华达州和加利福尼亚 - 这种国家对自动驾驶的更加认真
安全研究人员展示了对机器人的赎金软件攻击
一个未分割的漏洞暴露了Netgear路由器来攻击
Cyber​​spies偷走了工业巨人Thyssenkrupp的秘密
大多数NHS信托都失败了他们的网络安全评估,NHS Digital Acmits
英国信息专员表示,信任基础创新
Google Q4结果显示企业正在购买其公共云
预计这个春天迅速升级
区块链条给全球LGBT社区成为一个响亮的经济声音
尽管接近截止日期,但荷兰公司尚未为GDPR做好准备
这是您对AWS GreenGrass IoT服务的硬件需求的需求
最新的MacBook专业人士未能获得消费者报告建议 - 这就是为什么
密歇根州批准了没有司机或道路上的转向轮子的汽车
隐私集团敦促调查“玩具互联网”
几乎一半的年轻女性不觉得他们有一个技术职业的技能
西米德兰斯市长在狩猎首席数字官员
英特尔说独立的VR是在今年年底到来的
适用于AWS的新合作伙伴计划旨在增长Alexa,IoT等
想象力计划新的MIPS CPU,PowerVR GPU看起来它会反弹
IDC研究表明,对2017年飙升的云启用基础设施产品的需求
在压力下的企业可以让更容易获得云
您的位置:首页 >产品 > 电子产品 >

Google开放源测试套件用于DEVS查找加密错误

2021-07-30 15:44:06 [来源]:

使用加密库很难,并且一个实施错误可能会导致严重的安全问题。为帮助开发人员检查其执行错误的代码并找到加密软件库中的缺点,谷歌已发布了一个测试套件作为Project WycheProof的一部分。

“在加密学中,微妙的错误可能会有灾难性的后果,并且开源加密软件库中的错误太久重复并保持了太长,”谷歌安全工程师丹尼尔布莱因··布尔希纳巴赫和泰国··德·········布尔因··布尔希亨贝赫和泰国··德··德··德··德·博客。

[也关于InfoWorld:19个开源GitHub项目,用于安全专业人员。/发现如何使用InfoWorld安全报告时事通讯保护系统。]

以澳大利亚“S Mount Wycheproof,世界上最小的山脉”名为,WycheProof为开发人员提供了一系列单元测试,可检测加密算法中已知的缺点并检查预期行为。第一组测试是用Java编写的,因为Java具有常见的加密接口,可用于测试多个提供程序。

“我们认识到软件工程师修复和防止具有单元测试的错误,我们发现可以通过相同的方式解决许多加密问题,”Bleichenbacker和Duong写道。

该套件可用于测试此类加密算法作为RSA,椭圆曲线密码和经过身份验证的加密等。该项目还具有即用的工具来检查Java加密架构提供程序,例如Bouncy Castle和OpenJDK中的默认提供程序。工程师表示,他们正在将测试转换成测试向量,以简化将它们移植到其他语言的过程。

工程师说,该释放中的测试是低级别的,而不应直接使用,但它们仍然可以应用于测试算法,以测试算法针对公知的攻击。例如,开发人员可以使用WychePrick以验证算法是否容易受到数字签名方案中无效的曲线攻击或偏置的诸如偏置的。

到目前为止,该项目已被用来运行超过80个测试用例,并确定了40多个漏洞,包括在特定情况下可以恢复DSA和ECDHC算法的私钥的一个问题。算法中的弱点是存在,因为图书馆没有检查他们从外部所接收的椭圆曲线点。

“公钥的编码通常包含公钥点的曲线。如果在密钥交换中使用此类编码,则要检查用于计算共享ECDH机密的公共和密钥是否使用相同的曲线是很重要的。根据可用文档,某些库未能完成此检查。

加密图书馆可能很难实现,攻击者经常寻找弱加密实现,而不是试图打破加密的实际数学。通过WycheProof,开发人员和用户可以针对大量已知攻击检查他们的库,而无需挖掘学术论文,以了解他们需要担心的攻击。

工程师通过公共加密文学观察并实现了已知的攻击以构建测试套件。然而,开发人员不应该考虑套件全面或能够检测到所有缺点,因为始终被发现和披露了新的弱点。

“项目Wycheproof绝不是完整的。传递测试并不意味着图书馆是安全的,这只是意味着它并不容易受到投影Wycheproof尝试检测的攻击的影响,“工程师写道。

谷歌发布了一个模糊机后,WycheProof两周来帮助开发人员在开源软件中发现编程错误。像OSS-Fuzz一样,Github上的所有WycheProof的代码都可以使用。OSS-Fuzz仍处于Beta,但它已经通过了4万亿测试用例,并且自公开宣布以来,开源项目中未发现150个错误。

这个故事,“Google Open-Sources测试套件用于查找加密错误”最初由Infoworld发布。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。