انتشار ابزاری برای آزمایش کتابخانه‌های رمزنگاری توسط گوگل

گوگل این هفته از انتشار پروژه‌ی Wycheproof خبر دارد. این پروژه ابزاری متن‌باز است که بر روی کتابخانه‌های رمزنگاری، وجود آسیب‌پذیری‌های شناخته‌شده را بررسی می‌کند.

به دلیل واسط‌های رمزنگاری در جاوا، این پروژه به زبان جاوا توسعه داده شده و بسیاری از الگوریتم‌های معورف رمزنگاری مانند AES-EAX ،AES-GCM ،DH ،DHIES ،DSA ،ECDH ،ECDSA ،ECIES و RSA را مورد بررسی قرار می‌دهد. بیش از ۸۰ نمونه آزمایش توسط کارشناسان گوگل توسعه‌ داده شده و نزدیک به ۴۰ مورد آسیب‌پذیری در الگوریتم‌های RSA ،DSA ،ECDH و DH کشف شده است.

کارشناسان گوگل اشاره کردند پروژه‌ی Wycheproof بقدری کامل نیست که متخصصان رمزنگاری بخواهند با استفاده‌ از آن ضعف‌های پروتکل‌های رمزنگاری را شناسایی کنند. باتوجه به اینکه پیاده‌سازی امن الگوریتم‌های رمزنگاری کار ِ آسانی نیست، گوگل معتقد است این ابزار می‌تواند برای توسعه‌دهندگان مفید باشد.

دو تن از مهندسان گوگل که نگهداری پروژه‌ی Wycheproof را برعهده دارند در یک پست وبلاگی گفتند: «انگیزه‌ی اصلی این پروژه رسیدن به یک هدف دست‌یافتنی است. به هین دلیل ما این پروژه را Wycheproof نامگذاری کردیم نام کوچک‌ترین کوهستان در جهان. بالا رفتن و صعود به کوچک‌ترین کوهستان کار آسانی است.»

هرچند این پروزه توسط مهندسان گروه امنیتی گوگل توسعه و نگهداری می‌شود ولی به‌عنوان یکی از محصولات رسمی گوگل ارائه نشده است. هر کس دیگری می‌تواند در این پروژه شرکت کند ولی اگر آسیب‌پذیری کشف شد، ابتدا باید به گروه توسعه‌دهنده‌ی گوگل که نگهداری از کتابخانه‌ها را برعهده دارند، اطلاع‌رسانی شود. همچنین افشای این آسیب‌پذیری‌ها باید بعد از ارائه‌ی وصله انجام شود.

گوگل اشاره کرد برخی از محصولات متن‌باز این شرکت نیز شامل برنامه‌ی پاداش در ازای اشکال می‌شود و هرکس در پروژه‌ی Wycheproof آسیب‌پذیری کشف کند، برای او جایزه‌ای در نظر گرفته شده است.

پروژه‌ی Wycheproof اولین پروژه‌ی امنیتی گوگل نیست که امسال منتشر شده است. این شرکت سرویس فازی OSS-Fuzz، یک چارچوب پرسش‌نامه امنیت شرکت، ابزار مقایسه‌ی باینری BinDiff و ابزارهای پیشگیری از XSS و ارزیاب CSP را ارائه کرده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap