Google继12月初释出可检测开放源码软体错误的测试专案OSS-Fuzz之后,再于本周发表了专门用来检验加密函式库漏洞的Wycheproof专案(Project Wycheproof)。
Wycheproof专案并非为Google的官方产品,而是由Google Security负责开发与维护的专案 ,可根据已知的攻击检测各种加密函式库。
Google Security说明,Google仰赖许多第三方的加密软体函式库,但在密码学中,即使只是很小的错误都可能带来灾难性的后果,许多函式库经常且长期落入这样的实施陷阱中,然而,好的实施指南并不容易实现,要理解如何安全地实施密码得先消化数十年的学术文献。
Wycheproof专案沿用了软体工程师以单元测试来修补及预防臭虫的手法,集结了各种可侦测已知漏洞或检查加密演算行为的单元测试,可用来测试大多数的加密演算法,包含RSA、椭圆曲线加密及认证加密等,Google的密码学家已系统化地考察了文献,并实施了大多数的已知攻击,现在已有超过80种测试案例并已揭露逾40个臭虫。
即便如此,通过该专案检验的密码函式库并不一定是百分之百安全的,因为目前它主要防範的是已知的攻击。已被纳入该专案的热门加密演算法包括AES-EAX、AES-GCM、DH、DHIES、DSA、ECDH、ECDSA、ECIES及RSA等。
首批的检验是以Java撰写,拥有通用加密介面的Java只要透过单一的测试套件就能测试不同的供应商。未来Google Security打算开发更多的测试并欢迎社群参与贡献。
I 相关 / Other
复兴航空企业工会今天要求劳动部说明兴航员工剩余特休假计算,以及有关兴航宣称的资遣方案是依法给付还是优于劳基法。工会并要求劳动部成立专案小组,防止资方钻漏洞。劳动部回应,已发公文要资方给劳工至明年1月22日
图片来源: 翻摄自Donncha O'Cearbhaill示範影片 安全研究人员Donncha O'Cearbhaill本周揭露了Ubuntu平台上一个允许远端程式攻击的安全漏洞,该漏洞存在于Ubuntu内的当机报告机制Apport中,影响Ubuntu桌面版12.10 (Q
(健康医疗网/记者王晨霈报道)造成脂肪肝原因,包括饮酒过量、体重过重、有三高病史等都恐埋下致病原因,临床上,急性和慢性肝炎也可能会同时合并脂肪肝问题;国立成大医院斗六分院胃肠肝胆科医生汤升晔指出,但因部
好房网News记者蔡孟颖/台北报道 受到美国有线电视网CNN钦点的台湾宜居城市台中,近来却因治安、空气品质、房价、交通等,使宜居城市头衔饱受质疑,现在还被网友质疑“比不上高雄、还要被桃园超车”,连实施多年的
美国商务部旗下的国家电信暨资讯管理局(National Telecommunications and Information Administration,NTIA)本周公布《漏洞揭露的态度与行为》(Vulnerability Disclosure Attitudes and Actions)研究报告,指称