Google ha rilasciato il Project Wycheproof, una serie di test di sicurezza che controlla le librerie dei software proteggendole da minacce conosciute come parte di attacchi più ampi. Il progetto prende il nome dal Monte Wycheproof – la montagna più piccola del mondo – ed è disponibile gratuitamente su GitHub.
Il Project Wycheproof include circa 80 test e Google fa sapere che grazie a loro sono riusciti a scoprire oltre 40 bug di sicurezza. Una volta che una libreria crittografata ha subito una patch, questa verrà rilasciata nuovamente dopo i test.
I test comprendono i cripto algoritmi come AES-EAX, AES-GCM, DH DHIES, DSA, ECDH, ECDSA, ECIES, e RSA. Individuano se una libreria sia vulnerabile agli attacchi e quanto lo sia, includendo le curve di attacco, le bias degli schemi di firma digitale, oltre a tutti gli attacchi Bleichenbacher. In breve, il progetto Wycheproof consente agli sviluppatori e agli utenti di controllare le librerie a fronte di un vasto numero di attacchi conosciuti.
Ecco le motivazioni ufficiali di Google riguardo il progetto:
“In crittografia, anche gli errori più piccoli possono avere conseguenze catastrofiche e gli errori nelle librerie open source di software di crittografia si ripetono troppo spesso e rimangono sconosciuti troppo a lungo. Disporre di buone linee guida, tuttavia, non sempre è possibile e capire come implementare la crittografia in modo sicuro, richiede che ci si debba imbattere nella letteratura accademica accumulata in decenni. Ci rendiamo conto che gli ingegneri dei software provino a risolvere e prevenire i bug per mezzo di test di unità, e abbiamo scoperto che molti problemi di crittografia possono essere risolti con gli stessi mezzi”.
Google vuole sviluppare più test possibili e incoraggiare i contributi esterni.
Anche nel caso in cui la vostra libreria riuscisse a superare tutti i test del Project Wycheproof, non significherebbe che possiate considerarla sicura. Ricordiamo che ogni giorno vengono scoperte nuove vulnerabilità nei protocolli.
Da Sixlab a Bitwiser: il racconto di un rebranding che riflette l’evoluzione di un partner…
Quando le risposte automatiche dell’AI sulla salute diventano un rischio sistemico per l’informazione online.
I reattori compatti di nuove startup nucleari trovano applicazioni industriali nei settori della tecnologia e…
Cloud sovrano, autonomia tecnologica e indipendenza dei dati sono i pilastri su cui le organizzazioni…
Elon Musk ha annunciato la fine della produzione di Model S e Model X per…
Business Meets Innovation è l’evento della Camera di Commercio Italo-Germanica che mette in contatto corporate…
Via Italia 50, 20900 Monza (MB) - C.F. e Partita IVA: 03339380135
Reg. Trib. Milano n. 409 del 21/7/2011 - ROC n. 21424 del 3/8/2011