Una serie di test individuerà falle nelle librerie di software di crittografia prima che vengano sfruttate da hacker e criminali
Google ha pubblicato nelle ultime ore Project Wycheproof, un set di test di sicurezza volti a esaminare i software di crittografia presenti in varie librerie, per determinare quali contengano falle e possibili debolezze. Lo scopo è permettere ai ricercatori di studiare gli archivi per comprendere i rischi nell’utilizzo di certi programmi di protezione che, troppo spesso, cadono sotto i colpi di hacker e criminali informatici. Wycheproof include 80 tipologie di test, che finora hanno già permesso di scovare 40 bug di sicurezza. La lista, disponibile a questo indirizzo, è destinata ad ampliarsi, con le più recenti scoperte della community.
Come funziona
Il progetto è infatti pubblicato su GitHub, così da essere aperto a una più larga fetta di esaminatori. Gli algoritmi presi in considerazione sono i più popolari: da AES-EAX, a AES-GCM, DH DHIES, DSA, ECDH, ECDSA, ECIES, e RSA. Quello che Wycheproof fa è analizzare la libreria sottoponendola a diverse vulnerabilità, sia più estese che meno conosciute. “Nel campo della crittografia sottili errori possono avere delle conseguenze catastrofiche – spiega Google – gli errori nelle librerie software si ripetono troppo spesso e restano non scoperti per lungo tempo. Un’implementazione migliore e precise linee guida possono aiutare a comprendere come migliorare la sicurezza. Sappiamo che gli ingegneri del software tappano e prevengono le falle con unità di test; pensiamo di poter usare gli stessi mezzi a livello globale, per trovare criticità e risolverle”.
