/ Security / Project Wycheproof: Krypto-Implementierung auf Sicherheit abklopfen

Project Wycheproof: Krypto-Implementierung auf Sicherheit abklopfen

Moritz Rosenfeld on December 20, 2016 - 1:20 pm in Security

Von AES über ECDH bis RSA: Admins können mit Googles Project Wycheproof eine Sammlung von Tests auf ihre Server loslassen, um die Sicherheit der Konfiguration von Krpyto-Funktionen zu testen.

Mit Project Wycheproof gibt Googles Sicherheitsteam Admins über 80 Tests an die Hand, mit denen sie die Sicherheit der Implementierung von kryptografischen Funktionen auf Servern überprüfen können. Auf Github finden Interessierte alles Nötige inklusive Anleitung, um loslegen zu können. Google betont, dass es sich bei dem Projekt um kein offizielles Google-Produkt handelt.

Die Entwickler zeigen darüber hinaus Schwächen verschiedener Krypto-Verfahren auf und geben Tipps für die optimale Einrichtung (siehe folgende Links). Project Wycheproof bietet Tests für die Krypto-Algorithmen: AES, EAX, AES-GCM, Diffie-Hellman (DH) , DHIES, DSA, elliptische Kurven ECDH, ECDSA, ECIES, RSA. Dabei kommen derzeit bekannte Attacken zum Einsatz.

Mit den Tests kann man etwa abklopfen, ob die eigene RSA-Konfiguration anfällig für die so genannte Bleichenbacher-Attacke ist. Beim Einsatz von ECDH unter der Nutzung der quelloffenen SSL/TLS-Umsetzung Bouncy Castle konnten die Entwickler eigenen Angaben zufolge mit ihren Tests einen privaten Schlüssel leaken.

Voraussetzungen und Einschränkungen

Wer Project Wycheproof auf seine Server loslassen will, benötigt das Tool Bazel zum Bauen und Testen von Software und die Java Cryptograhic Extension (JCE) Unlimited Strength Jurisdiction Policy Files.

Besteht die Krypto-Implementierung auf einem Server alle Tests von Project Wycheproof, garantiert das jedoch keine hundertprozentige Sicherheit, betonen die Entwickler. Die Test-Sammlung erhebe keinen Anspruch auf Vollständigkeit und befinde sich noch in Entwicklung. Zudem gibt es immer wieder neue Angriffsszenarien, die Krypto-Funktionen brechen wollen. (des)

Read more on: Source

Comments are disabled