Wycheproof:一款针对加密代码库的安全强度测试工具

2024-09-07 40 0

关于Wycheproof

Wycheproof是一款功能强大的加密代码库安全强度检测工具,广大研究人员可以使用Wycheproof来测试加密库的安全健壮度。

工具背景

在密码学中,微小的错误往往会带来灾难性的后果。我们发现,许多加密库频繁陷入这些实施陷阱,且问题常常持续很长时间。然而,获得可靠的实施指南非常困难,因为安全地实现密码学需要深入理解几十年的学术研究。我们意识到,软件工程师经常通过单元测试来修复和预防错误,而加密漏洞也可以用类似的方式解决。

基于这些观察,我们开发了 Wycheproof 项目。这是一个由单元测试组成的测试框架,专门用于检测已知的安全弱点,或者验证某些加密算法的正确行为。Wycheproof 提供了对多种常用加密算法的测试支持,包括 RSA、椭圆曲线加密和认证加密。我们的密码学家团队系统地调查了相关文献,并实现了大多数已知的攻击。项目中包含 80 多个测试用例,已发现 40 多个安全漏洞。举例来说,我们成功恢复了广泛使用的 DSA 和 ECDHC 实现中的私钥。

尽管我们努力涵盖尽可能多的攻击类型,Wycheproof 项目并不意味着它可以确保加密库完全安全,只能说明它通过了 Wycheproof 的测试。密码学领域不断有新的攻击被发现。然而,借助 Wycheproof 项目,开发者和用户无需花费多年时间阅读学术论文或成为密码学专家,就可以检测他们的库是否易受大量已知攻击的威胁。

覆盖率

当前版本的Wycheproof支持测试目前绝大多数的加密算法,其中包括:

AES-EAX

AES-GCM

ChaCha20-Poly1305

DH

DHIES

DSA

ECDH

ECDSA

EdDSA

ECIES

HKDF

HMAC

RSA

X25519, X448

这些测试可以帮助我们确定一个加密代码库是否会受到以下威胁的影响:

1、无效曲线攻击

2、数字签名方案中的有偏随机数

3、Bleichenbacher相关的所有攻击

4、...

工具要求

Bazel

Java JCE

工具安装

广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/google/wycheproof.git

工具使用

要测试 Bouncy Castle 的最新稳定版本:

bazel test BouncyCastleAllTests

测试其他版本,例如 v1.52:

bazel test BouncyCastleAllTests_1_52

测试所有已知版本(警告,将花费很长时间):

bazel test BouncyCastleAllTests_*

要测试本地 jar,请设置WYCHEPROOF_BOUNCYCASTLE_JAR环境变量:

$ WYCHEPROOF_BOUNCYCASTLE_JAR=/path/to/bouncycastle

$ bazel test BouncyCastleTestLocal

$ bazel test BouncyCastleAllTestsLocal

注意:Bazel 目前不会因环境变化而使构建无效。如果您更改了WYCHEPROOF_BOUNCYCASTLE_JAR环境变量,请运行bazel clean以强制重建:

$ WYCHEPROOF_BOUNCYCASTLE_JAR=/path/to/bouncycastle

$ bazel test BouncyCastleTestLocal

$ WYCHEPROOF_BOUNCYCASTLE_JAR=/path/to/other/jar

$ bazel clean

$ bazel test BouncyCastleTestLocal

如需测试Spongy Castle,请将BouncyCastle替换为SpongyCastle:

bazel test SpongyCastleAllTests

测试Amazon Corretto Crypto Provider:

bazel test AccpAllTests

要测试 Amazon Corretto Crypto Provider 的本地 jar,请设置 WYCHEPROOF_ACCP_JAR环境变量:

$ WYCHEPROOF_ACCP_JAR=/path/to/accp

$ bazel test AccpTestLocal

$ bazel test AccpAllTestsLocal

许可证协议

本项目的开发与发布遵循Apache-2.0开源许可协议。

项目地址

Wycheproof:【GitHub传送门

参考资料

http://bouncycastle.org/

https://rtyley.github.io/spongycastle/

https://github.com/corretto/amazon-corretto-crypto-provider

http://openjdk.java.net/

https://bazel.build/

http://stackoverflow.com/questions/6481627/java-security-illegal-key-size-or-default-parameters

相关文章:

  1. 如何使用Extrude分析和检测二进制源码中的安全问题
  2. GWPSan:一款基于数据采样的二进制代码动态安全检测框架
  3. Bugsy:一款功能强大的代码安全漏洞自动化修复工具
  4. Ropdump:针对二进制可执行文件的安全检测工具
  5. Java代码审计实战篇:超详细分享文件上传

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

4A测评
漏洞分析
0 0

相关文章

Arkime:一款大规模数据包捕获和索引数据库系统
从蓝队流量角度分析Shiro-550反序列化漏洞
万字长文浅谈三高系统建设方法论和实践
你遇到过哪些奇葩面试题目;如何考察渗透测试与安全管理能力| FB甲方群话题讨论
Amoco:一款针对二进制源码的安全分析工具
CVE-2024-21096:MySQLDump提权漏洞分析

发布评论