Project Wycheproof: Google stellt Krypto-Testsuite zur Verfügung
Die Implementierung von Verschlüsselungsverfahren soll Programmierern mit Hilfe Googles jetzt einfacher gemacht werden. Dafür hat der Suchmaschinenkonzern unter dem Titel "Project Wycheproof" nun eine Test-Suite veröffentlicht, die automatisiert Fehler finden soll.
Die ordentliche Implementierung von Kryptographie gilt als eine der schwierigsten Aufgaben, die ein Entwickler haben kann. Nicht umsonst gibt es den Grundsatz, allen Anbietern, die angeben, auf ein selbst entwickeltes Verfahren zu setzen, grundsätzlich zu misstrauen. Empfohlen wird vielmehr, auf offene Standards und Bibliotheken zu setzen, die sich schon längere Zeit in der Praxis bewährten.
Doch auch bei deren Integration kann es zu Problemen kommen. "In der Kryptographie können kleine Fehler katastrophale Konsequenzen haben", erklärten die Daniel Bleichenbacher und Thai Duong zur Veröffentlichung ihrer Software. Es würden zu oft die immer wieder gleichen Fehler gemacht, die dann zu lange unentdeckt in der Software verbleiben würden.
Die Software führt automatisch eine Reihe von Tests durch, mit der bekannte Schwachstellen in Verschlüsselungs-Funktionen entdeckt werden sollen. Gefunden werden sollen unter anderem Probleme in den Verfahren selbst als auch Verhaltensweisen einer Anwendung, die auf eine falsche Implementierung von Standard-Bibliotheken schließen lassen.
Die Test-Suite kann unter anderem auf bekannte Algorithmen wie RSA, Elliptische Kurven und diverse Authentifizierungs-Systeme angewandt werden. Geboten werden aber auch Tools zum Prüfen von Java Cryptography Architectures, die häufig zum Einsatz kommen. Zum Start stehen vor allem Prüf-Verfahren für Java-Anwendungen zur Verfügung, allerdings sollen in der nächsten Zeit weitere Sprachen folgen.
Doch auch bei deren Integration kann es zu Problemen kommen. "In der Kryptographie können kleine Fehler katastrophale Konsequenzen haben", erklärten die Daniel Bleichenbacher und Thai Duong zur Veröffentlichung ihrer Software. Es würden zu oft die immer wieder gleichen Fehler gemacht, die dann zu lange unentdeckt in der Software verbleiben würden.
Krypto für jedermann
Benannt ist die neue Test-Suite nach dem australischen "Mount Wycheproof", der als kleinster Berg der Welt angesehen wird und sich 43 Meter über das umgebende Flachland erhebt. Dies soll wohl symbolisch dafür stehen, dass die ordentliche Implementierung von Krypto-Features mit der Software zum Kinderspiel wird.Die Software führt automatisch eine Reihe von Tests durch, mit der bekannte Schwachstellen in Verschlüsselungs-Funktionen entdeckt werden sollen. Gefunden werden sollen unter anderem Probleme in den Verfahren selbst als auch Verhaltensweisen einer Anwendung, die auf eine falsche Implementierung von Standard-Bibliotheken schließen lassen.
Die Test-Suite kann unter anderem auf bekannte Algorithmen wie RSA, Elliptische Kurven und diverse Authentifizierungs-Systeme angewandt werden. Geboten werden aber auch Tools zum Prüfen von Java Cryptography Architectures, die häufig zum Einsatz kommen. Zum Start stehen vor allem Prüf-Verfahren für Java-Anwendungen zur Verfügung, allerdings sollen in der nächsten Zeit weitere Sprachen folgen.
Thema: