Google Project Wycheproof, il test di sicurezza per le librerie crittografate

Google ha rilasciato il Project Wycheproof, una serie di test di sicurezza che controlla le librerie dei software proteggendole da minacce conosciute come parte di attacchi più ampi. Il progetto prende il nome dal Monte Wycheproof – la montagna più piccola del mondo – ed è disponibile gratuitamente su GitHub.
Il Project Wycheproof include circa 80 test e Google fa sapere che grazie a loro sono riusciti a scoprire oltre 40 bug di sicurezza. Una volta che una libreria crittografata ha subito una patch, questa verrà rilasciata nuovamente dopo i test.
I test comprendono i cripto algoritmi come AES-EAX, AES-GCM, DH DHIES, DSA, ECDH, ECDSA, ECIES, e RSA. Individuano se una libreria sia vulnerabile agli attacchi e quanto lo sia, includendo le curve di attacco, le bias degli schemi di firma digitale, oltre a tutti gli attacchi Bleichenbacher. In breve, il progetto Wycheproof consente agli sviluppatori e agli utenti di controllare le librerie a fronte di un vasto numero di attacchi conosciuti.
Ecco le motivazioni ufficiali di Google riguardo il progetto:
“In crittografia, anche gli errori più piccoli possono avere conseguenze catastrofiche e gli errori nelle librerie open source di software di crittografia si ripetono troppo spesso e rimangono sconosciuti troppo a lungo. Disporre di buone linee guida, tuttavia, non sempre è possibile e capire come implementare la crittografia in modo sicuro, richiede che ci si debba imbattere nella letteratura accademica accumulata in decenni. Ci rendiamo conto che gli ingegneri dei software provino a risolvere e prevenire i bug per mezzo di test di unità, e abbiamo scoperto che molti problemi di crittografia possono essere risolti con gli stessi mezzi”.
Google vuole sviluppare più test possibili e incoraggiare i contributi esterni.
Anche nel caso in cui la vostra libreria riuscisse a superare tutti i test del Project Wycheproof, non significherebbe che possiate considerarla sicura. Ricordiamo che ogni giorno vengono scoperte nuove vulnerabilità nei protocolli.