TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ข่าวนี้คงเป็นที่น่าสนใจไม่น้อยสำหรับผู้ที่อยู่ในวงการการเข้ารหัส เมื่อ Google ปล่อยชุดเครื่องมือทดสอบจุดอ่อนของ Algorithm การเข้ารหัสมาให้ได้ใช้กันฟรีๆ
Google ประกาศเปิดตัว Project Wycheproof ซึ่งเป็นชุดของ Unit Test สำหรับทำการทดสอบหาจุดอ่อนที่มีอยู่ภายใน Cryptographic Algorithm โดยเฉพาะอย่างยิ่งช่องโหว่ที่เป็น Known Attack ที่พบเจอได้ในปัจจุบัน
เหล่าวิศวกรของ Google นั้นได้ออกมายอมรับว่าชุดการทดสอบแรกๆ ที่ถูกเขียนขึ้นด้วย Java นี้เป็นเพียงการทดสอบแบบ Low Level เท่านั้น แต่ก็ยังสามารถใช้เพื่อหาช่องโหว่ใน Cryptographic Algorithm ได้เป็นอย่างดี ซึ่งในชุด Wycheproof นี้มี 80 กรณีการทดสอบเพื่อค้นหา 40 ช่องโหว่ โดยในบางกรณีนั้นเป็นช่องโหว่ที่ถึงขั้นสามารถเข้าถึง Private Key ของ DSA และ ECDHC ได้
ทางวิศวกรของ Google ยังได้ให้ความเห็นอีกด้วยว่า ที่ผ่านมามีเหตุการณ์ที่เกิดขึ้นทางด้านความปลอดภัยในส่วนของการเข้ารหัสภายในโครงการ Open Source อยู่หลายครั้ง และช่องโหว่เหล่านั้นก็ยังไม่ถูกค้นพบมาเป็นเวลานาน ซึ่งเหตุการณ์ลักษณะนี้ถือว่าค่อนข้างอันตรายทีเดียว และศาสตร์ด้านการเข้ารหัสอย่างปลอดภัยนี้ก็ถือเป็นเรื่องที่เข้าใจได้ยากเพราะเป็นองค์ความรู้ที่เกิดจากการวิจัยในมหาวิทยาลัยยาวนานนับสิบปี
ทั้งนี้ในโครงการ Wycheproof นี้จะครอบคลุมการทดสอบ Cryptographic Algorithm ดังต่อไปนี้
และทำการตรวจสอบหาช่องโหว่ที่อาจเกิดขึ้นได้จากการโจมตีดังต่อไปนี้
- Invalid curve attack
- Biased nonces in digital signature schemes
- Bleichenbacher’s attack ทั้งหมด
- การโจมตีอื่นๆ อีกมากกว่า 80 กรณี
ผู้ที่สนใจสามารถศึกษาเพิ่มเติมเกี่ยวกับ Project Wycheproof ได้ที่ https://github.com/google/wycheproof ทันที
ที่มา: https://threatpost.com/google-unveils-cryptographic-library-test-suite-wycheproof/122598/
