image

Google ontwikkelt software om encryptie te testen

dinsdag 20 december 2016, 09:50 door Redactie, 1 reacties

Google heeft software ontwikkeld waarmee cryptografische softwarebibliotheken op bekende kwetsbaarheden kunnen worden getest. "In cryptografie kunnen subtiele fouten catastrofale gevolgen hebben en fouten in open source cryptografische softwarebibliotheken worden te vaak herhaald en blijven te lang verborgen", zegt Daniel Bleichenbacher van Google.

De internetgigant ontwikkelde daarom Project Wycheproof, vernoemd naar de kleinste berg ter wereld. Het bestaat uit meer dan 80 tests waarmee Google zelf meer dan 40 beveiligingslekken in de implementatie van encryptie-algoritmes ontdekte. Naast het zoeken naar bekende kwetsbaarheden kijkt Project Wycheproof ook naar het verwachte gedrag van sommige encryptie-algoritmes. Google heeft naar eigen zeggen tests voor de meeste bekende aanvallen op encryptie-algoritmes geïmplementeerd.

Project Wycheproof is volgens Bleichenbacher niet volledig. Het succesvol afronden van alle tests wil dan ook niet zeggen dat een cryptografische bibliotheek veilig is. "Cryptografen ontdekken continu nieuwe zwakheden in cryptografische protocollen. Met Project Wycheproof kunnen ontwikkelaars en gebruikers nu hun bibliotheken tegen een groot aantal bekende aanvallen testen, zonder honderden academische rapporten door te worstelen of zelf cryptograaf te worden", aldus Bleichenbacher. Project Wycheproof is te downloaden via GitHub.

Reacties (1)
20-12-2016, 11:56 door Anoniem
Wellicht is het noemenswaardig om te vermelden dat Daniel Bleichenbacher in 1998 met een praktische aanval op SSL de noodzaak voor een sterker cryptografisch aanvalsmodel bewees [https://en.wikipedia.org/wiki/Daniel_Bleichenbacher]. Tegenwoordig is het de standaard om nieuwe public-key crypto-systemen onder een adaptief chosen-ciphertext model te bewijzen (CCA2), daarvoor beschouwde men hoofdzakelijk het chosen-plaintext model of een lunch-time attack (CCA1) als praktisch haalbaar.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.