Google Project Wycheproof test op beveiligingslekken in encryptie-algoritmes

Google heeft software ontwikkeld waarmee cryptografische softwarebibliotheken op bekende kwetsbaarheden kunnen worden getest. Met Project Wycheproof kunnen ontwikkelaars bibliotheken tegen een groot aantal bekende aanvallen testen.

Volgens Daniel Bleichenbacher van Google kunnen in cryptografie subtiele fouten catastrofale gevolgen hebben, meldt Security.nl op haar website. Fouten in open source cryptografische softwarebibliotheken worden te vaak herhaald en blijven te lang verborgen. Google heeft daarom Project Wycheproof ontwikkeld, vernoemd naar de kleinste berg ter wereld die in Australië ligt. Project Wycheproof bestaat uit meer dan 80 tests waarmee Google zelf meer dan 40 beveiligingslekken in de implementatie van encryptie-algoritmes ontdekte. Naast het zoeken naar bekende kwetsbaarheden kijkt Project Wycheproof ook naar het verwachte gedrag van sommige encryptie-algoritmes. Google heeft naar eigen zeggen tests voor de meeste bekende aanvallen op encryptie-algoritmes geïmplementeerd.

Java
Bleichenbacher schrijft in zijn blog dat Project Wycheproof niet volledig is en succesvolle afronding van alle tests wil dan ook niet zeggen dat een cryptografische bibliotheek veilig is. "Cryptografen ontdekken continu nieuwe zwakheden in cryptografische protocollen. Met Project Wycheproof kunnen ontwikkelaars en gebruikers nu hun bibliotheken tegen een groot aantal bekende aanvallen testen, zonder honderden academische rapporten door te worstelen of zelf cryptograaf te worden", zegt Bleichenbacher. De eerste serie tests is in Java geschreven, maar Bleichenbacher verwacht dat de tests op termijn naar andere talen worden overgezet. Project Wycheproof is te downloaden via GitHub.