Wycheproof:一款针对加密代码库的安全强度测试工具

2024-09-06 16:36

本文主要是介绍Wycheproof:一款针对加密代码库的安全强度测试工具,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

关于Wycheproof

Wycheproof是一款功能强大的加密代码库安全强度检测工具,广大研究人员可以使用Wycheproof来测试加密库的安全健壮度。

工具背景

在密码学中,微小的错误往往会带来灾难性的后果。我们发现,许多加密库频繁陷入这些实施陷阱,且问题常常持续很长时间。然而,获得可靠的实施指南非常困难,因为安全地实现密码学需要深入理解几十年的学术研究。我们意识到,软件工程师经常通过单元测试来修复和预防错误,而加密漏洞也可以用类似的方式解决。

基于这些观察,我们开发了 Wycheproof 项目。这是一个由单元测试组成的测试框架,专门用于检测已知的安全弱点,或者验证某些加密算法的正确行为。Wycheproof 提供了对多种常用加密算法的测试支持,包括 RSA、椭圆曲线加密和认证加密。我们的密码学家团队系统地调查了相关文献,并实现了大多数已知的攻击。项目中包含 80 多个测试用例,已发现 40 多个安全漏洞。举例来说,我们成功恢复了广泛使用的 DSA 和 ECDHC 实现中的私钥。

尽管我们努力涵盖尽可能多的攻击类型,Wycheproof 项目并不意味着它可以确保加密库完全安全,只能说明它通过了 Wycheproof 的测试。密码学领域不断有新的攻击被发现。然而,借助 Wycheproof 项目,开发者和用户无需花费多年时间阅读学术论文或成为密码学专家,就可以检测他们的库是否易受大量已知攻击的威胁。

覆盖率

当前版本的Wycheproof支持测试目前绝大多数的加密算法,其中包括:

AES-EAX

AES-GCM

ChaCha20-Poly1305

DH

DHIES

DSA

ECDH

ECDSA

EdDSA

ECIES

HKDF

HMAC

RSA

X25519, X448

这些测试可以帮助我们确定一个加密代码库是否会受到以下威胁的影响:

1、无效曲线攻击

2、数字签名方案中的有偏随机数

3、Bleichenbacher相关的所有攻击

4、...

工具要求

Bazel

Java JCE

工具安装

广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/google/wycheproof.git

工具使用

要测试 Bouncy Castle 的最新稳定版本:

bazel test BouncyCastleAllTests

测试其他版本,例如 v1.52:

bazel test BouncyCastleAllTests_1_52

测试所有已知版本(警告,将花费很长时间):

bazel test BouncyCastleAllTests_*

要测试本地 jar,请设置WYCHEPROOF_BOUNCYCASTLE_JAR环境变量:

$ WYCHEPROOF_BOUNCYCASTLE_JAR=/path/to/bouncycastle$ bazel test BouncyCastleTestLocal$ bazel test BouncyCastleAllTestsLocal

注意:Bazel 目前不会因环境变化而使构建无效。如果您更改了WYCHEPROOF_BOUNCYCASTLE_JAR环境变量,请运行bazel clean以强制重建:

$ WYCHEPROOF_BOUNCYCASTLE_JAR=/path/to/bouncycastle$ bazel test BouncyCastleTestLocal$ WYCHEPROOF_BOUNCYCASTLE_JAR=/path/to/other/jar$ bazel clean$ bazel test BouncyCastleTestLocal

如需测试Spongy Castle,请将BouncyCastle替换为SpongyCastle:

bazel test SpongyCastleAllTests

测试Amazon Corretto Crypto Provider:

bazel test AccpAllTests

要测试 Amazon Corretto Crypto Provider 的本地 jar,请设置 WYCHEPROOF_ACCP_JAR环境变量:

$ WYCHEPROOF_ACCP_JAR=/path/to/accp$ bazel test AccpTestLocal$ bazel test AccpAllTestsLocal

许可证协议

本项目的开发与发布遵循Apache-2.0开源许可协议。

项目地址

Wycheproof:【GitHub传送门】

参考资料

Bouncy Castle open-source cryptographic APIs

Spongy Castle by rtyley

GitHub - corretto/amazon-corretto-crypto-provider: The Amazon Corretto Crypto Provider is a collection of high-performance cryptographic implementations exposed via standard JCA/JCE interfaces.

OpenJDK

https://bazel.build/

Java Security: Illegal key size or default parameters? - Stack Overflow

这篇关于Wycheproof:一款针对加密代码库的安全强度测试工具的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1142544

相关文章

活用c4d官方开发文档查询代码

当你问AI助手比如豆包,如何用python禁止掉xpresso标签时候,它会提示到 这时候要用到两个东西。https://developers.maxon.net/论坛搜索和开发文档 比如这里我就在官方找到正确的id描述 然后我就把参数标签换过来

poj 1258 Agri-Net(最小生成树模板代码)

感觉用这题来当模板更适合。 题意就是给你邻接矩阵求最小生成树啦。~ prim代码:效率很高。172k...0ms。 #include<stdio.h>#include<algorithm>using namespace std;const int MaxN = 101;const int INF = 0x3f3f3f3f;int g[MaxN][MaxN];int n

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

计算机毕业设计 大学志愿填报系统 Java+SpringBoot+Vue 前后端分离 文档报告 代码讲解 安装调试

🍊作者:计算机编程-吉哥 🍊简介:专业从事JavaWeb程序开发,微信小程序开发,定制化项目、 源码、代码讲解、文档撰写、ppt制作。做自己喜欢的事,生活就是快乐的。 🍊心愿:点赞 👍 收藏 ⭐评论 📝 🍅 文末获取源码联系 👇🏻 精彩专栏推荐订阅 👇🏻 不然下次找不到哟~Java毕业设计项目~热门选题推荐《1000套》 目录 1.技术选型 2.开发工具 3.功能

2024网安周今日开幕,亚信安全亮相30城

2024年国家网络安全宣传周今天在广州拉开帷幕。今年网安周继续以“网络安全为人民,网络安全靠人民”为主题。2024年国家网络安全宣传周涵盖了1场开幕式、1场高峰论坛、5个重要活动、15场分论坛/座谈会/闭门会、6个主题日活动和网络安全“六进”活动。亚信安全出席2024年国家网络安全宣传周开幕式和主论坛,并将通过线下宣讲、创意科普、成果展示等多种形式,让广大民众看得懂、记得住安全知识,同时还

代码随想录冲冲冲 Day39 动态规划Part7

198. 打家劫舍 dp数组的意义是在第i位的时候偷的最大钱数是多少 如果nums的size为0 总价值当然就是0 如果nums的size为1 总价值是nums[0] 遍历顺序就是从小到大遍历 之后是递推公式 对于dp[i]的最大价值来说有两种可能 1.偷第i个 那么最大价值就是dp[i-2]+nums[i] 2.不偷第i个 那么价值就是dp[i-1] 之后取这两个的最大值就是d

pip-tools:打造可重复、可控的 Python 开发环境,解决依赖关系,让代码更稳定

在 Python 开发中,管理依赖关系是一项繁琐且容易出错的任务。手动更新依赖版本、处理冲突、确保一致性等等,都可能让开发者感到头疼。而 pip-tools 为开发者提供了一套稳定可靠的解决方案。 什么是 pip-tools? pip-tools 是一组命令行工具,旨在简化 Python 依赖关系的管理,确保项目环境的稳定性和可重复性。它主要包含两个核心工具:pip-compile 和 pip

D4代码AC集

贪心问题解决的步骤: (局部贪心能导致全局贪心)    1.确定贪心策略    2.验证贪心策略是否正确 排队接水 #include<bits/stdc++.h>using namespace std;int main(){int w,n,a[32000];cin>>w>>n;for(int i=1;i<=n;i++){cin>>a[i];}sort(a+1,a+n+1);int i=1

【Kubernetes】K8s 的安全框架和用户认证

K8s 的安全框架和用户认证 1.Kubernetes 的安全框架1.1 认证:Authentication1.2 鉴权:Authorization1.3 准入控制:Admission Control 2.Kubernetes 的用户认证2.1 Kubernetes 的用户认证方式2.2 配置 Kubernetes 集群使用密码认证 Kubernetes 作为一个分布式的虚拟