The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Google опубликовал Wycheproof, инструментарий для проверки к..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Google опубликовал Wycheproof, инструментарий для проверки к..."  +/
Сообщение от opennews (??) on 20-Дек-16, 18:13 
Компания Google анонсировала (https://security.googleblog.com/2016/12/project-wycheproof.html) проект Wycheproof (https://github.com/google/wycheproof), в рамках которого подготовлен инструментарий для выявления в различных реализациях алгоритмов шифрования известных недоработок и несоответствий с ожидаемым поведением, открывающих двери для проведения атак. Мелкие ошибки при реализации алгоритмов шифрования часто могут привести к катастрофическим последствиям, оставаясь слишком долго необнаруженными. Wycheproof рассчитан на оперативное определение подобных ошибок, которые встречаются значительно чаще, чем хотелось бы. Набор тестов написан на языке Java и распространяется (https://github.com/google/wycheproof) под лицензией Apache 2.0.


В настоящее время в Wycheproof реализовано более 80 тестов, проверяющих на наличие более 40 видов ошибок в реализациях алгоритмов RSA, DSA,  ECDH и Diffie-Hellman, таких как некорректный выбор констант для построения эллиптической кривой, повторное использование параметров в схемах формирования цифровых подписей, различные виды атак на AES-EAX, AES-GCM, DH, DHIES, DSA, ECDH, ECDSA, ECIES и RSA.

Для некоторых тестов код пока не открыт, так как они проверяют уязвимости, ещё не исправленные производителями (код будет открыт после устранения связанных с ними проблем). Например, исследователями Google выявлена возможность восстановления закрытого ключа в некоторых широко распространённых реализациях DSA и ECDHC, детали данной уязвимости пока не разглашаются, но тесты уже доступны в бинарном (https://github.com/google/wycheproof/blob/master/java/com/go...) виде (https://github.com/google/wycheproof/blob/master/java/com/go...).

Язык Java выбран для первого набора тестов из-за того, что Java предоставляет типовой криптографический интерфейс, что позволяет использовать одни тесты для проверки разных криптографических систем. В частности, инструментарий может применяться для проверки криптопровайдеров на базе Java Cryptography Architecture, таких как Bouncy Castle, Spongy Castle и средств шифрования из состава OpenJDK. При этом сами тесты написаны с учетом упрощения портирования на другие языки. Проект развивается командой Google Security Team, но не является официальным продуктом Google. Одним из авторов проекта является известный эксперт по криптографии Даниэль Блейхенбахер (Daniel Bleichenbacher (https://en.wikipedia.org/wiki/Daniel_Bleichenbacher)), автор нескольких практических атак на RSA.


URL: https://security.googleblog.com/2016/12/project-wycheproof.html
Новость: http://www.opennet.ru/opennews/art.shtml?num=45725

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Google опубликовал Wycheproof, инструментарий для проверки к..."  +1 +/
Сообщение от Аноним (??) on 20-Дек-16, 18:13 
Вычёпруфф??
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Google опубликовал Wycheproof, инструментарий для проверки к..."  –2 +/
Сообщение от Аноним (??) on 20-Дек-16, 18:14 
> Wycheproof

Проверка на ВИЧ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Google опубликовал Wycheproof, инструментарий для проверки к..."  –3 +/
Сообщение от Аноним (??) on 20-Дек-16, 18:17 
Справочка для любовницы :)
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Google опубликовал Wycheproof, инструментарий для проверки к..."  +3 +/
Сообщение от Crazy Alex (ok) on 20-Дек-16, 19:12 
О да, главное - к названию прицепиться.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Google опубликовал Wycheproof, инструментарий для проверки к..."  +1 +/
Сообщение от Фуррь (ok) on 20-Дек-16, 19:56 
Забавно, что один из главных зондостроителей проверяет криптографические библиотеки. А найденные дырочки будут по тихому отправляться в Гугл?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Google опубликовал Wycheproof, инструментарий для проверки к..."  +1 +/
Сообщение от A.Stahl (ok) on 20-Дек-16, 20:19 
Ну хоть про режим Виши не вспомнили и то хорошо:)
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Google опубликовал Wycheproof, инструментарий для проверки к..."  +1 +/
Сообщение от Аноним (??) on 20-Дек-16, 20:25 
https://en.wikipedia.org/wiki/Wycheproof
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Google опубликовал Wycheproof, инструментарий для проверки к..."  +1 +/
Сообщение от Аноним (??) on 20-Дек-16, 20:29 
Код открыт. Покажи где закладка.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "Google опубликовал Wycheproof, инструментарий для проверки к..."  –2 +/
Сообщение от Аноним (??) on 20-Дек-16, 20:34 
В Java
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Google опубликовал Wycheproof, инструментарий для проверки к..."  +1 +/
Сообщение от Crazy Alex (ok) on 20-Дек-16, 20:57 
А они про него знают?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

13. "Google опубликовал Wycheproof, инструментарий для проверки к..."  +/
Сообщение от A.Stahl (ok) on 20-Дек-16, 21:21 
Аргумент...
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Google опубликовал Wycheproof, инструментарий для проверки к..."  –1 +/
Сообщение от Аноним (??) on 21-Дек-16, 00:12 
Код Java открыт.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Google опубликовал Wycheproof, инструментарий для проверки к..."  +/
Сообщение от Аноним (??) on 21-Дек-16, 00:36 
открытость != безопасность, оракель вас уже подпустил к корыту?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Google опубликовал Wycheproof, инструментарий для проверки к..."  –1 +/
Сообщение от Аноним (??) on 21-Дек-16, 01:02 
А ты докажи, что ее нет.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

17. "Google опубликовал Wycheproof, инструментарий для проверки к..."  +/
Сообщение от Аноним (??) on 21-Дек-16, 01:21 
> тесты уже доступны в бинарном виде.

А по ссылке какие-то исходники на жабе.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Google опубликовал Wycheproof, инструментарий для проверки к..."  +/
Сообщение от Аноним (??) on 21-Дек-16, 01:32 
Это был ответ с двойным дном, только для вас это не очевидно.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

19. "Google опубликовал Wycheproof, инструментарий для проверки к..."  +/
Сообщение от Аноним (??) on 21-Дек-16, 07:36 
ага. софтверный аудит(вариант смвартфонная ост. вариант поисковая систем. вариант социальная сеть или почта) от стартапа ЦРУ. что может пойти "не так?" :=)
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Google опубликовал Wycheproof, инструментарий для проверки к..."  +/
Сообщение от лютый жабист__ on 21-Дек-16, 07:45 
Налицо мощь Java. Си быстрее, бидон лаконичнее, но побеждает тот, почти самый быстрый, почти самый удобный + со 100500 библиотеками промышленного качества.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Google опубликовал Wycheproof, инструментарий для проверки к..."  +/
Сообщение от Аноним (??) on 21-Дек-16, 09:14 
> А по ссылке какие-то исходники на жабе.

Внимательно в них гляньте, это обёртки для манипуляции блобами.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

22. "Google опубликовал Wycheproof, инструментарий для проверки к..."  +/
Сообщение от Аноним (??) on 21-Дек-16, 12:33 
Виши? Это Вишванатан Ананд который? Да, режим у него был страшный, то цейтнот, то цугцванг. Магнус Карлсен его еле одолел.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

23. "Google опубликовал Wycheproof, инструментарий для проверки к..."  +/
Сообщение от Crazy Alex (ok) on 21-Дек-16, 13:43 
В случае джава (и там, где она применяется) побеждает тот, который самый тупой и предсказуемый. Вот и здесь - куча криптографических фреймворков, но один апи. В других языках можно выбрать API в том числе. Но да, для прототипирования инструмента для тестов - удобно.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

24. "Google опубликовал Wycheproof, инструментарий для проверки к..."  +/
Сообщение от Аноним (??) on 08-Фев-18, 15:35 
Еще бы такую же для выявления их в бинарном стриме...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру