Google brengt tests uit om cryptokwetsbaarheden op te sporen

Google heeft een project in het leven geroepen onder de naam 'Wycheproof'. Dat bestaat uit een aantal tests waarmee ontwikkelaars kwetsbaarheden in cryptografische bibliotheken kunnen opsporen. Er zijn bijvoorbeeld tests voor rsa- en aes-encryptie.

Beveiligingsmedewerkers van Google schrijven in hun aankondiging dat bij het toepassen van encryptie kleine fouten vaak grote gevolgen kunnen hebben. Google maakt net als andere ontwikkelaars gebruik van cryptografische bibliotheken van derden, waarvoor vaak geen implementatierichtlijnen te vinden zijn. Daarom hebben zij het project in het leven geroepen, wat in feite bestaat uit een verzameling van ongeveer tachtig unittests. Aan de hand van deze tests kunnen ontwikkelaars bekende kwetsbaarheden opsporen in crypto-implementaties.

Door de tests zelf uit te voeren, was het beveiligingsteam van Google in staat om veertig bugs op te sporen. Deze zijn nog niet allemaal openbaar gemaakt, omdat sommige ervan nog door de respectievelijke ontwikkelaars opgelost moeten worden. Een voorbeeld van een gevonden bug is dat de privésleutel achterhaald kon worden bij veelgebruikte implementaties van dsa en ecdhc. De Google-medewerkers waarschuwen dat het slagen voor de tests niet betekent dat een implementatie veilig is. De tests moeten ontwikkelaars die niet veel van cryptografie weten helpen om bekende aanvallen af te weren.

De eerste tests van het Google-team zijn geschreven in Java, omdat de taal beschikt over een gezamenlijke cryptografische interface. Het team werkt eraan het porten van de tests naar andere talen te vergemakkelijken. Er zijn inmiddels tests voor aanbieders binnen het JCA-framework, zoals Bouncy Castle, en de standaardmogelijkheden in OpenJDK.

Het project is vernoemd naar de kleinste berg ter wereld, Wycheproof, die 43 meter hoog is. De reden daarachter is dat het project een haalbaar doel moet hebben, 'net als het beklimmen van een kleine berg'.