关于Wycheproof
Wycheproof是一款功能强大的加密代码库安全强度检测工具,广大研究人员可以使用Wycheproof来测试加密库的安全健壮度。
工具背景
在密码学中,微小的错误往往会带来灾难性的后果。我们发现,许多加密库频繁陷入这些实施陷阱,且问题常常持续很长时间。然而,获得可靠的实施指南非常困难,因为安全地实现密码学需要深入理解几十年的学术研究。我们意识到,软件工程师经常通过单元测试来修复和预防错误,而加密漏洞也可以用类似的方式解决。
基于这些观察,我们开发了 Wycheproof 项目。这是一个由单元测试组成的测试框架,专门用于检测已知的安全弱点,或者验证某些加密算法的正确行为。Wycheproof 提供了对多种常用加密算法的测试支持,包括 RSA、椭圆曲线加密和认证加密。我们的密码学家团队系统地调查了相关文献,并实现了大多数已知的攻击。项目中包含 80 多个测试用例,已发现 40 多个安全漏洞。举例来说,我们成功恢复了广泛使用的 DSA 和 ECDHC 实现中的私钥。
尽管我们努力涵盖尽可能多的攻击类型,Wycheproof 项目并不意味着它可以确保加密库完全安全,只能说明它通过了 Wycheproof 的测试。密码学领域不断有新的攻击被发现。然而,借助 Wycheproof 项目,开发者和用户无需花费多年时间阅读学术论文或成为密码学专家,就可以检测他们的库是否易受大量已知攻击的威胁。
覆盖率
当前版本的Wycheproof支持测试目前绝大多数的加密算法,其中包括:
AES-EAX
AES-GCM
ChaCha20-Poly1305
DH
DHIES
DSA
ECDH
ECDSA
EdDSA
ECIES
HKDF
HMAC
RSA
X25519, X448这些测试可以帮助我们确定一个加密代码库是否会受到以下威胁的影响:
1、无效曲线攻击
2、数字签名方案中的有偏随机数
3、Bleichenbacher相关的所有攻击
4、...工具要求
Bazel
Java JCE工具安装
广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/google/wycheproof.git工具使用
要测试 Bouncy Castle 的最新稳定版本:
bazel test BouncyCastleAllTests测试其他版本,例如 v1.52:
bazel test BouncyCastleAllTests_1_52测试所有已知版本(警告,将花费很长时间):
bazel test BouncyCastleAllTests_*要测试本地 jar,请设置WYCHEPROOF_BOUNCYCASTLE_JAR环境变量:
$ WYCHEPROOF_BOUNCYCASTLE_JAR=/path/to/bouncycastle
$ bazel test BouncyCastleTestLocal
$ bazel test BouncyCastleAllTestsLocal注意:Bazel 目前不会因环境变化而使构建无效。如果您更改了WYCHEPROOF_BOUNCYCASTLE_JAR环境变量,请运行bazel clean以强制重建:
$ WYCHEPROOF_BOUNCYCASTLE_JAR=/path/to/bouncycastle
$ bazel test BouncyCastleTestLocal
$ WYCHEPROOF_BOUNCYCASTLE_JAR=/path/to/other/jar
$ bazel clean
$ bazel test BouncyCastleTestLocal如需测试Spongy Castle,请将BouncyCastle替换为SpongyCastle:
bazel test SpongyCastleAllTests测试Amazon Corretto Crypto Provider:
bazel test AccpAllTests要测试 Amazon Corretto Crypto Provider 的本地 jar,请设置 WYCHEPROOF_ACCP_JAR环境变量:
$ WYCHEPROOF_ACCP_JAR=/path/to/accp
$ bazel test AccpTestLocal
$ bazel test AccpAllTestsLocal最后: 下方这份完整的软件测试视频教程已经整理上传完成,需要的朋友们可以自行领取【保证100%免费】
软件测试面试文档
我们学习必然是为了找到高薪的工作,下面这些面试题是来自阿里、腾讯、字节等一线互联网大厂最新的面试资料,并且有字节大佬给出了权威的解答,刷完这一套面试资料相信大家都能找到满意的工作。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
