Google释出可找出加密演算法漏洞的Wycheproof专案

Google继12月初释出可检测开放源码软件错误的测试专案 OSS-Fuzz 之后，再于本周发表了专门用来检验加密函式库漏洞的 Wycheproof专案 。

Wycheproof专案并非为Google的官方产品，而是由 Google Security负责开发与维护的专案 ，可根据已知的攻击检测各种加密函式库。

Google Security说明，Google仰赖许多第三方的加密软件函式库，但在密码学中，即使只是很小的错误都可能带来灾难性的后果，许多函式库经常且长期落入这样的实施陷阱中，然而，好的实施指南并不容易实现，要理解如何安全地实施密码得先消化数十年的学术文献。

Wycheproof专案沿用了软件工程师以单元测试来修补及预防臭虫的手法，集结了各种可侦测已知漏洞或检查加密演算行为的单元测试，可用来测试大多数的加密演算法，包含RSA、椭圆曲线加密及认证加密等，Google的密码学家已系统化地考察了文献，并实施了大多数的已知攻击，现在已有超过80种测试案例并已揭露逾40个臭虫。

即便如此，通过该专案检验的密码函式库并不一定是百分之百安全的，因为目前它主要防範的是已知的攻击。已被纳入该专案的热门加密演算法包括AES-EAX、AES-GCM、DH、DHIES、DSA、ECDH、ECDSA、ECIES及RSA等。

首批的检验是以Java撰写，拥有通用加密介面的Java只要透过单一的测试套件就能测试不同的供应商。未来Google Security打算开发更多的测试并欢迎社交参与贡献。