Menü
Update
Security

Project Wycheproof: Krypto-Implementierung auf Sicherheit abklopfen

Von AES über ECDH bis RSA: Entwickler können mit Googles Project Wycheproof eine Sammlung von Tests auf Krypto-Bibliotheken loslassen, um die Sicherheit eigener Software zu testen.

Von
vorlesen Drucken Kommentare lesen 6 Beiträge
Project Wycheproof: Krypto-Implementierung auf Sicherheit abklopfen

(Bild: ke dickinson, CC BY 2.0 )

Mit Project Wycheproof gibt Googles Sicherheitsteam Entwicklern über 80 Tests an die Hand, mit denen sie die Sicherheit der Implementierung von kryptografischen Funktionen in ihre Software überprüfen können. Auf Github finden Interessierte alles Nötige inklusive Anleitung, um loslegen zu können. Google betont, dass es sich bei dem Projekt um kein offizielles Google-Produkt handelt.

Die Project-Wycheproof-Entwickler zeigen darüber hinaus Schwächen verschiedener Krypto-Verfahren auf und geben Tipps für die optimale Einrichtung (siehe folgende Links). Project Wycheproof bietet Tests für die Krypto-Algorithmen: AES, EAX, AES-GCM, Diffie-Hellman (DH) , DHIES, DSA, elliptische Kurven ECDH, ECDSA, ECIES, RSA. Dabei kommen derzeit bekannte Attacken zum Einsatz.

Mit den Tests kann man etwa abklopfen, ob die eigene RSA-Konfiguration anfällig für die so genannte Bleichenbacher-Attacke ist. Beim Einsatz von ECDH unter der Nutzung der quelloffenen SSL/TLS-Umsetzung Bouncy Castle konnten die Entwickler eigenen Angaben zufolge mit ihren Tests einen privaten Schlüssel leaken.

Voraussetzungen und Einschränkungen

Wer Project Wycheproof auf seine Anwendungen loslassen will, benötigt das Tool Bazel zum Bauen und Testen von Software und die Java Cryptograhic Extension (JCE) Unlimited Strength Jurisdiction Policy Files.

Besteht die Krypto-Implementierung alle Tests von Project Wycheproof, garantiert das jedoch keine hundertprozentige Sicherheit, betonen die Entwickler. Die Test-Sammlung erhebe keinen Anspruch auf Vollständigkeit und befinde sich noch in Entwicklung. Zudem gibt es immer wieder neue Angriffsszenarien, die Krypto-Funktionen brechen wollen.

Lese Sie dazu auch:

[UPDATE, 20.12.2016 14:40 Uhr]

Für wenn die Tests sind im Fließtext angepasst. (des)