Projet Google Wycheproof : une suite d'outils de tests cryptographiques

Par:
fredericmazue

mer, 21/12/2016 - 15:14

Implémenter des algorithmes cryptographiques, ou de chiffrement, complexes n'est pas une mince affaire. Des erreurs subtiles peuvent avoir de lourdes conséquences pour la sécurité souligne Google dans un billet qui annonce son nouveau projet : Wycheproof.

Google a mis au travail ses cryptographes éminents, qui ont étudié les techniques d'attaques courantes pour constituer un ensemble de tests unitaires applicables sur les implémentations des algorithmes de chiffrement les plus répandus : AES-EAX, AES, GCM, DH, DHIES, DSA, ECDH, ECDSA ECIES, RSA.

Le projet Wycheproof a vocation à s'enrichir de nouveaux tests, et Google fait appel aux contributeurs pour cela. Toutefois les tests déjà mis au point par Google semblent efficaces, puisque Mountain View assure avoir découvert grâce à eux 40 failles, dont la possibilité de récupérer des clés privées sur des implémentations DSA et ECDHC 

En dépit de ce que le mot proof pourrait laisser penser, Google rappelle fort pertinemment qu'une implémentation qui passerait tous les tests n'est pas pour autant garantie être sans défaut. C'est toujours le même problème avec les tests. Lorsqu'ils sont passés avec succès cela prouve seulement qu'ils n'ont pas permis de trouver un bug, mais cela ne prouve pas l'absence de bug.

Cette réserve faite, le projet Wycheproof est une belle initiative. Wycheproof est open source et le code de ses tests est accessible sur GitHub.