Canal de Telegram

21 dic 2016

Segu-Info » » Wycheproof: un proyecto para verificar todas las Crypto Libraries

Wycheproof: un proyecto para verificar todas las Crypto Libraries

21 dic 2016, 8:47:00 a.m.   Comenta primero!
   
No todas estas librerías son realmente seguras, y, por ello, Google ha lanzado un nuevo proyecto llamado Wycheproof, llamado así por la montaña más pequeña del mundo.

Wycheproof es un proyecto desarrollado y mantenido por el grupo especializado en seguridad informática de Google, Google Security Team, pero, realmente, no es un producto oficial de la compañía. Este proyecto nace debido a que Google, igual que muchas otras compañías y plataformas, hacen uso de librerías criptográficas de terceros para brindar cifrado a sus plataformas y aplicaciones, sin embargo, en el cifrado, el más mínimo fallo puede tener unas consecuencias catastróficas para la seguridad, consecuencias que no de pueden asumir.

Wycheproof es, entonces, un conjunto de pruebas independientes que buscan en las principales librerías criptográficas fallos conocidos o comportamientos inesperados de manera que puedan conocer de antemano la existencia de estos errores de seguridad y ponerlos solución lo antes posible.

Este conjunto de pruebas funciona con prácticamente todos los algoritmos modernos y los más populares, entre otros:
Y, entre los 80 tipos de ataques diferentes que se incluyen, podemos destacar:
  • Ataques de curva no válida (Invalid Curve)
  • Números no repetidos en los esquemas de firmas digitales
  • Ataques Bleichenbacher
Estos tests son de código abierto (aunque aún no están todos publicados a falta de corregir algunos fallos encontrados en varios algoritmos) y podemos acceder a ellos a través de GitHub.

En las 80 pruebas iniciales que han realizado los ingenieros de seguridad de Google han podido encontrar más de 40 errores en librerías ampliamente utilizadas, por ejemplo, cómo era posible recuperar la clave privada en implementaciones muy utilizados de algoritmos DSA y ECDHC.

Los expertos de seguridad de Google decidieron utilizar Java como ecosistema para Wycheproof, principalmente, porque utiliza un entorno común para el cifrado, lo que permite, desde una única plataforma, analizar todos los casos posibles. De todas formas, ellos mismos recomiendan el uso de OpenJDK, la alternativa libre al Java de Oracle.

Los ingenieros de Google recuerdan que, aunque un algoritmo pase las pruebas, eso no significa que sea totalmente seguro, sino que, simplemente, no es vulnerable a los tests que se han realizado, pero puede haber otras vulnerabilidades.

Fuente: RedesZone | Google Security Blog

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!