Expertos de seguridad de Google han desarrollado una suite de pruebas que permitirá a los desarrolladores encontrar debilidades en sus bibliotecas criptográficas e implementaciones.
El proyecto Wycheproof de la compañía, que fue lanzado en GitHub, contiene más de 80 casos de prueba para algoritmos criptográficos ampliamente utilizados, y que incluye RSA, AES-GCM, AES-EAX, Diffie-Hellman, Elliptic Curve Diffie-Hellman (ECDH), y el algoritmo de firma digital DSA.
El desarrollo de estas pruebas se ha realizado mediante la implementación de alguno de los ataques criptográficos más comunes. Hasta ahora, las pruebas les han ayudado a descubrir más de 40 errores de seguridad en las bibliotecas criptográficas, y ya se han reportado a los proveedores afectados.
“En la criptografía, los errores sutiles pueden tener consecuencias catastróficas, y los errores en las librerías de software criptográfico de código abierto se repiten con demasiada frecuencia y permanecen sin descubrir durante demasiado tiempo”, informaron los ingenieros de seguridad de Google Daniel Bleichenbacher y Thai Duong. “Sin embargo, las buenas directrices de implementación son difíciles de conseguir: entender cómo implementar la criptografía de manera segura requiere digerir el valor de las avances de décadas”.
Los investigadores de la compañía esperan que al publicar estas pruebas públicamente, tanto los desarrolladores como los usuarios puedan probar las implementaciones criptográficas que crean o utilizan. Algunas bibliotecas criptográficas son muy populares y se incluyen en muchos productos comerciales o se utilizan en aplicaciones empresariales.
Los tests realizados hasta ahora están escritos en Java, pero los investigadores están trabajando en su conversión para probar vectores para que puedan ser portados fácilmente a otros lenguajes de programación.
Pasar las pruebas del proyecto Wicheproof no significa tener seguridad 100%, pero sirve para establecer una línea de base donde el código está protegido contra los ataques más comunes.
Fuente: cso.computerworld.es
