QR code per la pagina originale

Project Wycheproof per una crittografia più sicura

Un insieme di tool e strumenti utili per testare la sicurezza e l'efficacia dei sistemi crittografici impiegati dagli sviluppatori nei propri software.

,

Applicazioni dedicate alla messaggistica, servizi per lo storage di documenti, fotografie e video. Si tratta in ogni caso di software che gestiscono dati sensibili e informazioni private, richiedendo dunque un livello di sicurezza elevato. La maggior parte di questi impiega un qualche metodo di crittografia, ma come si sa non sempre questo è sufficiente a garantire la sicurezza degli utenti.

È in questo scenario che entra in gioco Project Wycheproof, un’iniziativa presentata oggi da Google e indirizzata a tutti gli sviluppatori e ingegneri software. In sintesi, si tratta di un insieme di tool e strumenti che permette di testare il codice scritto per metterlo alla prova identificando eventuali vulnerabilità conosciute, aiutando così a tappare le falle prima di metterlo a disposizione degli utenti. Al momento vengono condotte verifiche per circa 80 exploit riconducibili a 40 bug differenti, per i più utilizzati algoritmi di crittografia: AES-EAX, AES-GCM, DH, DHIES, DSA, ECDH, ECDSA, ECIES e RSA.

Nella crittografia, anche gli errori più piccolo possono portare a conseguenze catastrofiche e gli errori nelle librerie software open source per la crittografia si ripetono troppo spesso, restando non identificati per troppo tempo. Una buona implementazione delle linee guida non è sempre semplice da effettuare: comprendere in che modo implementare la crittografia in modo sicuro richiede la conoscenza di letteratura accademica che copre decenni di evoluzioni. Sappiamo che gli ingegneri software correggono e prevengono i bug durante i loro test e sappiamo che molti dei problemi legati alla crittografia possono essere risolti allo stesso modo.

Il gruppo di Mountain View, nel suo post di presentazione sulle pagine del blog ufficiale, precisa che il superamento dei test offerti da Wycheproof non garantisce l’assoluta inviolabilità di un codice, poiché ogni giorno vengono identificate nuove vulnerabilità. Per questo motivo, il progetto continuerà ad evolvere e crescere grazie al contributo volontario dei partecipanti.

Una curiosità: il nome scelto da Google non è affatto casuale. Il Monte Wycheproof è conosciuto come la montagna più piccola al mondo. Un’immagine utile per capire come, secondo la visione di bigG, “il miglior modo per risolvere un problema è quello di affrontarne uno semplice”.