Wycheproof proyecto para auditar librerías criptográficas
Han desarrollado m�s de 80 casos de prueba que han descubierto m�s de 40 errores de seguridad (algunas pruebas o errores no son de c�digo abierto todav�a ya que est�n siendo arreglados por los proveedores). Por ejemplo, descubrieron que pod�an recuperar la clave privada de las implementaciones ampliamente utilizadas de DSA y ECDHC.
Tambi�n ofrecen herramientas para comprobar proveedores de Java Cryptography Architecture como Bouncy Castle y los proveedores predeterminados en OpenJDK.
La principal motivaci�n del proyecto es tener un objetivo alcanzable. Es por eso que llamaron al proyecto Wycheproof, la monta�a m�s peque�a del mundo. �Cuanto m�s peque�a es la monta�a, m�s f�cil es subirla! En criptograf�a, los errores sutiles pueden tener consecuencias catastr�ficas, y los errores en las bibliotecas de software criptogr�fico de c�digo abierto se repiten con demasiada frecuencia y permanecen sin descubrir durante demasiado tiempo. Por otro lado, las buenas directrices de implementaci�n son dif�ciles de conseguir: la comprensi�n de c�mo implementar la criptograf�a de forma segura requiere digerir el valor de la documentaci�n acad�mica de d�cadas.
Hay que reconocer que los ingenieros de software solucionan y previenen bugs con pruebas espec�ficas, pero muchos problemas criptogr�ficos pueden resolverse por los mismos medios. Estas observaciones les llevaron a desarrollar Project Wycheproof, una colecci�n de pruebas unitarias que detectan debilidades conocidas o comprueban comportamientos esperados de alg�n algoritmo criptogr�fico. Los cript�grafos han estudiado la documentaci�n e implementado los ataques m�s conocidos. Como resultado, Project Wycheproof proporciona pruebas para la mayor�a de los algoritmos criptogr�ficos, incluyendo RSA, codificaci�n de curva el�ptica y cifrado autenticado.
El primer conjunto de pruebas est� escrito en Java, porque Java tiene una interfaz criptogr�fica com�n. Eso les permiti� probar m�ltiples proveedores con una sola suite de pruebas. Si bien esta interfaz es un poco de nivel bajo, y no debe utilizarse directamente, siguen aplicando un argumento de "defensa en profundidad" y esperan que las implementaciones sean tan robustas como sea posible. Por ejemplo, consideran que los valores por defecto d�biles son un fallo de seguridad significativo.
Tambi�n est�n convirtiendo todas las pruebas posibles en conjuntos de vectores para simplificar el portado de las pruebas a otros idiomas. Y si bien est�n comprometidos en desarrollar tantas pruebas como sea posible, las contribuciones externas son bienvenidas (lee CONTRIBUIR).
Pasar las pruebas no implica que la biblioteca sea segura, simplemente significa que no es vulnerable a los ataques que Project Wycheproof intenta detectar. Los cript�grafos descubren constantemente nuevas debilidades en los protocolos criptogr�ficos. Sin embargo, con los desarrolladores y usuarios de Project Wycheproof ahora podemos revisar bibliotecas frente a un gran n�mero de ataques conocidos sin tener que pasar por cientos de documentos acad�micos o convertirse en cript�grafos. Para obtener m�s informaci�n sobre las pruebas y lo que puede hacer con ellas, visita su p�gina principal en GitHub: https://github.com/google/wycheproof
Fuente: https://security.googleblog.com/2016/12/project-wycheproof.html
download file now
alternative link download