Si chiama così, Project Wycheproof, ed è il nuovo tool online che Google ha reso disponibile per aumentare la comprensione dei rischi dietro l’utilizzo di codice crittografico non sicuro e fallato. Lo strumento, disponibile gratuitamente su GitHub, vuole rappresentare un set di utiltià con cui sviluppatori e ingegneri del software possono testare i loro prodotti, per essere certi che non presentino bug e criticità potenzialmente catastrofiche. Troppo spesso infatti accade che applicazioni di uso comune sfruttino un tipo di crittografia che non protegge del tutto gli utenti. Per quale motivo? Le linee di programmazione di base hanno la necessità di essere personalizzate per scopi differenti e può capitare che durante il lavoro di adattamento non si seguano le corrette linee guida che soddisfano i criteri di protezione.
Attraverso Google Project Wycheproof, chiunque ha la possibilità di testare se il risultato dei propri sforzi incontra davvero i requisiti di sicurezza che tutti si aspettano. Al momento, il tool conduce verifiche per circa 80 exploit che si riferiscono a 40 bug diversi, tutti focalizzati sui principali algoritmi di crittografia: AES-EAX, AES-GCM, DH, DHIES, DSA, ECDH, ECDSA, ECIES e RSA. “Il fatto è che nella crittografia piccoli errori possono causare vere catastrofi – ha spiegato Google – troppo spesso vediamo ripetersi errori nelle librerie open source che restano irrisolti per troppo tempo. Non è semplice intraprendere misure correttive seguendo precise linee guida, implementare la crittografia vuol dire conoscere l’evoluzione della letteratura accademica. Molti ingegneri correggono e prevengono i bug durante i loro test e pensiamo di poter seguire lo stesso principio per risolvere problemi crittografici”.
