Het project Wycheproof is verschenen op GitHub en bevat meer dan tachtig testgevallen voor breedgebruikte cryptografische algoritmes, inclusief RSA, AES-GMC, AES-EAX, Diffie-Hellman, Elliptic Curve Diffie-Hellman (ECDH) en het Digital Signature Algorithm (DSA).

Fouten te lang ongezien

De ontwikkelaars hebben enkele van de meestvoorkomende cryptografische aanvallen geïmplementeerd om deze tests te ontwikkelen. Tot nu toe hebben ze op deze manier meer dan veertig beveiligingsbugs gevonden in cryptografische library's en de ontdekte fouten zijn gemeld bij de betreffende fabrikanten.

"In cryptografie hebben subtiele fouten catastrofale gevolgen en fouten in cryptografische open source softwarelibrary's worden te vaak herhaald en blijven te lang onontdekt", schrijven Google-ontwikkelaars Daniel Bleichenbacher en Thai Duong in een blogpost. "Goede implementatiegidsen vind je weinig: begrip over hoe je cryptografie beveiligd implementeert vereist het verteren van academische literatuur van de afgelopen decennia."

Andere programmeertalen

Google-onderzoekers hopen dat door deze tests openbaar uit te geven zowel ontwikkelaars als gebruikers de cryptografische implementaties die ze respectievelijk maken en gebruiken onderwerpen aan een proef. Sommige van de crypto-library's zijn populair en worden gebruikt in diverse commerciële producten en/of zakelijke toepassingen.

De tests zijn tot nu toe geschreven in Java, maar de onderzoekers werken aan conversies naar andere programmeertalen. Voldoen aan Wycheproof betekent niet automatisch dat de library veilig is en geen kwetsbaarheden bevat, maar helpt om een baseline vast te stellen of code beveiligd is tegen de meest voorkomende aanvallen.