Google helpt met zoeken naar fouten in encryptie

Onder de naam Project Wycheproof is de suite uitgebracht op GitHub. Hij bestaat uit ruim 80 testcases voor veelgebruikte cryptografische algoritmes als RSA, AES-GCM, AES-EAX, Diffie-Hellman, Elliptic Curve Diffie-Helman en DSA.

De tests zijn ontwikkeld door veel gebruikte aanvallen op encryptie toe te passen. Daarmee zouden de Google-onderzoekers al zeker 40 lekken hebben gevonden. Een groot aantal daarvan is hier te vinden. De bugs waarvoor leveranciers nog geen patch hebben vrijgegeven, staan er niet bij.

Met de tests kunnen ontwikkelaars maar ook gebruikers de cryptografische implementaties waarmee zij werken controleren op veel voorkomende fouten.

Geen garantie

Met de Wycheproof-suite kunnen in elk geval de meest voorkomende fouten uit de diverse cryptografische libraries en implementaties gehaald worden. Een garantie dat de algoritmes foutloos zijn als ze door de Wycheproof-testen heen komen is er niet, benadrukt Google in een blog.

“Dezelfde fouten in open source cryptografische softwarelibraries komen te vaak terug en blijven te lang onontdekt. Goede aanwijzingen voor implementaties zijn erg moeilijk te vinden; daarvoor moet je enorme bergen academische literatuur doorwerken. Wij hebben ervaren dat veel cryptografische problemen met dezelfde middelen aangepakt kunnen worden.”