Google ha rilasciato il Project Wycheproof, una serie di test di sicurezza che controlla le librerie dei software proteggendole da minacce conosciute come parte di attacchi più ampi. Il progetto prende il nome dal Monte Wycheproof – la montagna più piccola del mondo – ed è disponibile gratuitamente su GitHub.
Il Project Wycheproof include circa 80 test e Google fa sapere che grazie a loro sono riusciti a scoprire oltre 40 bug di sicurezza. Una volta che una libreria crittografata ha subito una patch, questa verrà rilasciata nuovamente dopo i test.
I test comprendono i cripto algoritmi come AES-EAX, AES-GCM, DH DHIES, DSA, ECDH, ECDSA, ECIES, e RSA. Individuano se una libreria sia vulnerabile agli attacchi e quanto lo sia, includendo le curve di attacco, le bias degli schemi di firma digitale, oltre a tutti gli attacchi Bleichenbacher. In breve, il progetto Wycheproof consente agli sviluppatori e agli utenti di controllare le librerie a fronte di un vasto numero di attacchi conosciuti.
Ecco le motivazioni ufficiali di Google riguardo il progetto:
“In crittografia, anche gli errori più piccoli possono avere conseguenze catastrofiche e gli errori nelle librerie open source di software di crittografia si ripetono troppo spesso e rimangono sconosciuti troppo a lungo. Disporre di buone linee guida, tuttavia, non sempre è possibile e capire come implementare la crittografia in modo sicuro, richiede che ci si debba imbattere nella letteratura accademica accumulata in decenni. Ci rendiamo conto che gli ingegneri dei software provino a risolvere e prevenire i bug per mezzo di test di unità, e abbiamo scoperto che molti problemi di crittografia possono essere risolti con gli stessi mezzi”.
Google vuole sviluppare più test possibili e incoraggiare i contributi esterni.
Anche nel caso in cui la vostra libreria riuscisse a superare tutti i test del Project Wycheproof, non significherebbe che possiate considerarla sicura. Ricordiamo che ogni giorno vengono scoperte nuove vulnerabilità nei protocolli.
Brother presenta le nuove stampanti multifunzione professionali e il packaging in polpa di cellulosa stampata.…
Olimpiadi di Milano-Cortina: Digital twin dinamici, reti broadcast con AI e sistemi predittivi per sicurezza…
Scopri i migliori strumenti di intelligenza artificiale gratuiti per aziende: automazione, marketing, analisi dati e…
Scopri come scegliere le migliori app per Apple Watch 2025: consigli pratici per selezionare solo…
Zing segna un cambio di passo per Var Group: da convention a piazza aperta, dove…
Dal paradosso di Netflix all'innovazione sostenibile: come IBM, BlueIT e Formula stanno trasformando il rapporto…
Via Italia 50, 20900 Monza (MB) - C.F. e Partita IVA: 03339380135
Reg. Trib. Milano n. 409 del 21/7/2011 - ROC n. 21424 del 3/8/2011