Googleのセキュリティチーム、暗号化ソフトウェアの脆弱性テストセット「Project Wycheproof」を発表

 Google Security Teamの開発者は12月19日、暗号化ソフトウェアライブラリにおける既知の脆弱性の存在を調べることができるセキュリティテスト・セット「Project Wycheproof」を発表した。

 Project Wycheproofは既知の欠陥を検出したり、一部の暗号アルゴリズムの振る舞いをチェックする目的で開始したプロジェクト。GoogleのSecurity Teamのメンバーが開発・保守を行うが、公式のGoogleプロジェクトではないとしている。経緯としてGoogle内ではサードパーティの暗号化ソフトウェアライブラリを多く利用していることが挙げられており、セキュリティ上の問題が深刻な結果を招くことから開発に至ったという

 まずはJavaで80以上のテストケースを開発、40種以上のセキュリティ上の欠陥を発見できる。暗号アルゴリズムとしては、RSA、AES-EAX、AES-GCM、ディフィー・ヘルマン鍵共有(DH)、DHIES、DSA、ECDH、ECDSA、ECIESといった楕円曲線暗号(ECC)、認証付き暗号をカバーする。Bleichenbacher攻撃、Invalid Curve攻撃、デジタル署名におけるBiased Nonceなどに対する脆弱性を検出できるという。また、Bouncy CastleなどのJava暗号化アーキテクチャをチェックできるツールも提供する。

 今後もテストを増やす計画で、外部からの貢献も歓迎するとしている。Project WycheproofはApache License 2の下で公開されている。

Project Wycheproof
https://github.com/google/wycheproof