В Google создали тесты для поиска уязвимостей в криптографических библиотеках




09:35 26.12.2016 |   3932



Как отмечают в компании, в криптографии труднораспознаваемые ошибки могут иметь катастрофические последствия, а ошибки в библиотеках с открытым кодом нередко переходят из версии в версию, оставаясь ненайденными очень долго.

Тестовый комплект с открытым кодом Wycheproof, разработанный специалистами по безопасности Google, призван помогать программистам находить слабые места в реализациях криптографических функций. Комплект содержит более 80 контрольных примеров для широко применяемых алгоритмов шифрования, в том числе RSA, AES-GCM, AES-EAX, DSA и протоколов Диффи-Хеллмана — обычного и на эллиптических кривых.

Контрольные примеры в составе теста реализуют типичные атаки, направленные на взлом криптоалгоритмов. По словам разработчиков, на сегодня тесты уже позволили найти больше 40 ошибок безопасности в криптографических библиотеках, разработчиков которых уведомили о результатах.

Как отмечают в Google, в криптографии труднораспознаваемые ошибки могут иметь катастрофические последствия, а ошибки в библиотеках с открытым кодом нередко переходят из версии в версию, оставаясь ненайденными очень долго.

Сами тесты написаны на Java, но исследователи Google планируют превратить их в тест-векторы — наборы входных данных, которые можно будет использовать с программами на любых языках. Разработчики отмечают, что прохождение теста Wycherproof не означает, что библиотека защищена и свободна от ошибок, — только то, что код устойчив к распространенным атакам.


Теги: Информационная безопасность Google Криптография Разработка ПО
На ту же тему: