Un conjunto de pruebas de seguridad que verifican las bibliotecas de software criptográfico en busca de debilidades conocidas
"Muchos de los algoritmos utilizados en la criptografía para el cifrado, descifrado y autenticación son complicados, especialmente cuando se está utilizando la criptografía asimétrica de clave pública", dijo Peter Bright el lunes en Ars Technica. "A lo largo de los años, estas complejidades han resultado en una amplia gama de errores en bibliotecas criptográficas reales y el software que las utiliza".
Bright nos estaba dando una visión más grande del cuadro a la luz de las buenas noticias de Google. El lunes, Google anunció el lanzamiento de Project Wycheproof. Esto debería aliviar un poco de dolor.
El proyecto implica un conjunto de pruebas de seguridad que verifican las bibliotecas de software criptográfico en busca de debilidades conocidas.
Daniel Bleichenbacher y Thai Duong, ingenieros de seguridad de Google, anunciaron la suite de pruebas en el blog de seguridad de Google. Dijeron que esto era "una colección de pruebas unitarias que detectan debilidades conocidas o comprueban los comportamientos esperados de algún algoritmo criptográfico".
El primer conjunto de pruebas están escritas en Java, según los dos, ya que Java tiene una interfaz criptográfica común. A su vez, podrían probar múltiples proveedores con una sola suite de pruebas.
Ellos escribieron que su proyecto proporciona pruebas para la mayoría de los algoritmos criptográficos, incluyendo RSA, criptografía de curva elíptica y cifrado autenticado.
Su página de Github dijo que las pruebas detectan si una librería es vulnerable a ataques, incluyendo ataques de curva no válidos, nociones sesgadas en esquemas de firma digital y ataques de Bleichenbacher.
Google ha puesto el código de Wycheproof en GitHub para la lectura pública, dijo Chris Brook en Threatpost. El proyecto, agregó, se produce dos semanas después de que Google lanzó un fuzzer para ayudar a los desarrolladores a descubrir errores de programación en el software de código abierto.
¿Cómo ayuda su proyecto? Ellos bloguearon que son difíciles de conseguir las buenas directrices de implementación y que entender cómo implementar la criptografía de forma segura requiere digerir el valor de décadas de literatura académica. Ellos dijeron que "con los desarrolladores y usuarios de Project Wycheproof ahora pueden revisar sus bibliotecas contra un gran número de ataques conocidos sin tener que pasar por cientos de documentos académicos o convertirse en criptógrafos".
De todos modos, dijeron, que el Proyecto Wycheproof no estaba "en absoluto completo". "Pasar las pruebas no implica que la biblioteca sea segura, sólo significa que no es vulnerable a los ataques que prueba Project Wycheproof".
Justin Duino en 9to5Google dijo que "hay nuevas vulnerabilidades que se encuentran cada día, lo que significa que el proyecto Wycheproof continuará creciendo con la ayuda de los contribuyentes".
Sin embargo, los ingenieros reportaron avances. Hasta el momento se han desarrollado más de 80 casos de prueba que descubrieron más de 40 errores de seguridad. (Se encontraron con que podían recuperar la clave privada de implementaciones ampliamente utilizadas de DSA y ECDHC). Algunas pruebas o errores no son de código abierto, ya que están siendo arregladas por los proveedores.
¿Por qué eligieron el nombre Wycheproof? Mount Wycheproof es una colina en la ciudad de Wycheproof, Victoria, Australia. Dijeron que el Monte Wycheproof era la montaña más pequeña del mundo. "¡Cuanto más pequeña es la montaña, más fácil es subirla!".