Project Wycheproof: Google überprüft Verschlüsselungssoftware

Google hat mit Project Wycheproof eine Serie von Sicherheitstests angekündigt, mit der Entwickler kryptografische Softwarebibliotheken auf bekannte Schwachstellen überprüfen können. Dafür wurden über 80 Testfälle geschaffen, mit denen bereits mehr als 40 Sicherheitsanfälligkeiten aufgedeckt wurden.

Die auf GitHub bereitgestellte Testsammlung soll bekannte Schwachstellen oder auch das unerwartete Verhalten von Verschlüsselungsalgorithmen feststellen. Googles Kryptografen haben dafür die einschlägige Literatur durchforstet und die meisten bekannten Attacken implementiert. Daher kann Project Wycheproof Tests für die meisten gängigen kryptografischen Algorithmen bereitstellen.

Als grundsätzliche Motivation für das Projekt erklären Googles Sicherheitsexperten Daniel Bleichenbacher und Thai Duong in einem Blogeintrag, ein erreichbares Ziel zu haben. Deshalb wurde es auch nach Mount Wycheproof benannt, der als kleinster Berg der Welt gilt. „Je kleiner der Berg, desto leichter ist es, ihn zu erklimmen“, schreiben sie. „In der Kryptografie können subtile Fehler katastrophale Folgen haben, und Fehler in quelloffenen kryptografischen Softwarebibliotheken treten zu oft erneut auf und bleiben zu lange unentdeckt.“

Auch sei es schwierig, an gute Richtlinien für die Umsetzung von Verschlüsselung zu gelangen. Das Verständnis für die sichere kryptografische Implementierung setze die Durcharbeitung von mehreren Jahrzehnten akademischer Literatur voraus. Schon mit geeigneten Unit-Tests aber könnten Softwareentwickler Bugs beheben oder von vornherein verhindern.

Loading ...

Die erste Testserie ist in Java geschrieben, da Java über ein verbreitetes kryptografisches Interface verfügt. Das wiederum ermögliche, zahlreiche Prüfungen mit einer einzigen Testsuite durchzuführen. Obwohl es sich um ein Low-Level-Interface handle und es nicht direkt genutzt werden sollte, erlaube es doch eine „Verteidigung in der Tiefe“.

Googles Experten sehen die Testsuite selbst als noch lange nicht vollständig an und wollen sich weiter engagieren, so viele Tests wie möglich zu entwickeln. Sie heißen außerdem auch externe Beiträge willkommen. Das Bestehen der Tests garantiert jedoch nicht die Sicherheit einer Bibliothek, mahnen sie: „Es bedeutet lediglich, dass sie nicht durch die Attacken verwundbar ist, die Project Wycheproof zu erkennen versucht.“

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Bundesbürger misstrauen KI-generierten Ergebnissen

ChatGPT, Google Gemini, MidJourney oder Anthropic Claude: Gut jeder zweite Bundesbürger hat generative KI bereits…

6 Stunden ago

Typische Fehler beim KI-Einsatz im Marketing

KI gehört schon zu den festen Instrumenten des Marketings. Doch viele Unternehmer setzen die KI…

7 Stunden ago

Starbucks von Cyberattacke betroffen

Ransomware-Angriff auf die KI-gesteuerte Lieferkettenplattform Blue Yonder hat weitreichende Auswirkungen.

1 Tag ago

Was kann die Apple Watch Series 10?

Seit Ende September ist sie also verfügbar: die Apple Watch 10. Auch in Deutschland kann…

1 Tag ago

Microsoft-Clouds: GenAI verändert Servicegeschäft

ISG sieht engere Vernetzung zwischen Hyperscaler, IT-Partnern und Endkunden. Treiber ist das Zusammenspiel von KI…

1 Tag ago

Agentforce Testing Center: Management autonomer KI-Agenten

Mit dem Tool können Unternehmen KI-Agenten mithilfe synthetisch generierter Daten testen, um präzise Antworten und…

2 Tagen ago