James Steidl - Fotolia

F

Wie können Unternehmen das Google Projekt Wycheproof nutzen?

Das Google Projekt Wycheproof tritt an, um die Implementierung kryptografischer Bibliotheken in Software auf Schwachstellen zu testen.

Für den Namen Wycheproof habe man sich entschieden, weil dieser als der kleinste Berg der Welt gilt und sich weniger als 150 Meter über den Meeresspiegel erhebt, so ein Google-Security-Blogbeitrag. Das Ziel des Projektes sei ein erreichbares Ziel gewesen. Und je kleiner der Berg, umso einfacher sei er zu besteigen.

Das vorgestellte Tool soll erst der Anfang sein. Die Autoren wollten anderen ein Werkzeug zur Verfügung stellen, dass man ohne jahrelanges Studium nutzen könne. Dies würde zu einer besseren Akzeptanz und damit insgesamt zu einer verbesserten Sicherheitssituation führen. Ein offizielles Google-Produkt ist Projekt Wycheproof allerdings nicht, wie betont wird.

Anwendungsentwickler, die kryptografische Bibliotheken implementieren, können dieses Werkzeug in ihr Standard-Toolset aufnehmen, um ihre Programme auf Schwachstellen abzuklopfen. Das Projekt Wycheproof sucht mit derzeit 80 Tests in Krypto-Bibliotheken nach Schwachstellen und hat bereits 40 Sicherheitsprobleme gefunden, die derzeit bearbeitet werden. Project Wychproof bringt Test für viele gängige Krypto-Algorithmen mit, beispielsweise AES-EAX oder RSA. Interessierte Entwickler finden auf Github die entsprechenden Informationen.

Wer mit Werkzeugen wie Projekt Wycheproof oder anderen Sicherheitstests Schwachstellen entdeckt, sollte immer den Urheber oder Hersteller kontaktieren, der für die Bibliothek oder die Sicherheitslücke verantwortlich ist. Schließlich bergen diese Schwachstellen ein Risiko, wenn sie in Software enthalten sind, die in der freien Wildbahn zum Einsatz kommt. Bleibt die Frage, wie man andere über diese Schwachstelle informiert, nachdem man sie in einer Krypto-Bibliothek beziehungsweise deren Implementierung entdeckt hat.

Sensibler Umgang mit Schwachstellen

In der Vergangenheit hat die Veröffentlichung von Sicherheitslücken, exemplarisch sei Heartbleed in OpenSSL genannt, oftmals die Sicherheit der Internetnutzer direkt beeinträchtigt. Aber es lohnt sich, mit den Anbietern der Lösungen zusammen zu arbeiten, um die Sicherheit insgesamt zu verbessern und Schwachstellen zu beheben. So gilt es zu entscheiden, ob die Schwachstelle eine Veröffentlichung wert ist, falls der Anbieter keinen entsprechenden Support liefert.

Die Suche nach Schwachstellen in Krypto-Bibliotheken ist besonders heikel, denn diesen vertrauen wir, wenn wir Daten und Privatsphäre sichern. Damit nicht die Sicherheit an sich untergraben wird, heißt es, entsprechend sensibel damit umzugehen. Tools wie Projekt Wycheproof eignen sich dann gut dafür, typische Schwäche bei der Implementierung von Krypto-Bibliotheken aufzuzeigen. So können Fehler vermieden werden.

Andererseits muss man davon ausgehen, dass man nicht der Erste ist, der eine Schwäche bei der entsprechenden Implementierung findet. Zero-Day-Schwachstellen werden immer auftauchen und für unlautere Zwecke missbraucht werden. Je länger Schwachstellen nicht dem Hersteller mitgeteilt oder veröffentlicht werden, umso länger werden diese von böswilligen Angreifern ausgenutzt.

Die Verwendung von Tools wie Projekt Wycheproof erlaubt es vielen, die Sicherheit ihrer Krypto-Implementierungen zu überprüfen. Daher sollte man dem Beispiel der Entwickler von Wycheproof folgen, und entsprechend verantwortungsvoll mit potentiellen Fehlern in der Software umgehen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Microsoft Project Springfield: Fuzz Testing als Cloud-Dienst

Penetration Tester, kein normaler IT-Job

IT-Sicherheit: Automatisierte Tests reichen nicht aus

Die am häufigsten ausgenutzten Software-Schwachstellen

Artikel wurde zuletzt im März 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datei- und Laufwerks-Verschlüsselung

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close