来源: 时间:2022-03-22 14:35:09
Google宣布了Wycheproof项目,这是一组安全测试,用于检查常用的加密软件是否存在弱点。谷歌的一篇博客文章称,谷歌的一系列测试将扫描加密软件库中的问题。 鉴于加密和数据安全已成为2016年的流行语,Google表示其目的是确保软件工程师可以在被网络犯罪分子利用之前,轻松地帮助找到这些程序中的错误或问题。
Google表示已将该项目命名为世界上最小的山峰Wycheproof。根据博客的说法,“这个想法是“ 有一个可以实现的目标……。山越小,越容易爬上它!”到目前为止,谷歌已经提出了80个测试用例; 该项目已经在一些常用的加密软件中发现了40个安全漏洞,但并非所有这些都是开源的。其中一些目前由供应商修复。
博客文章进一步解释说: “在密码学中,细微的错误可能会带来灾难性的后果,而开源密码软件库中的错误会重复得太频繁,并且长时间未被发现。”
项目Wycheproof的想法是为某些加密算法中往往会出现的已知预期问题创建单元测试集合。谷歌表示,其 “密码学家已经调查了文献并实施了最已知的攻击”,以便提出这些测试。根据该项目的Github页面,Wycheproof项目的测试将与一些流行的加密算法一起使用,其中包括aes-eax,aes-gcm,DH,DHIES,DSA,ECDH,ECDSA,ECDSA,ECIES和RSA。
Google对该项目的第一套测试是在Java中进行的,据该公司称,该测试允许他们 “使用单个测试套件测试多个提供商”。谷歌还强调,该项目还远远没有完成,通过测试并不意味着该软件是安全的。这仅意味着加密软件可以免受测试中使用的已知攻击; 仍然可能存在其他未知的弱点。
Google还鼓励开发人员为该项目做出贡献。 它还说,如果有人发现已知程序的安全问题,则应 “首先直接向库的维护者报告”。
相关推荐
猜你喜欢
