【下载】免费漏洞挖掘工具Google Project Wycheproof 主要是挖加密算法漏洞

Google在本周宣布推出Project Wycheproof。Project Wycheproof是一个开源工具，设计用于检查流行加密软件库中是否存在已知漏洞。

Project Wycheproof工具下载

https://github.com/google/wycheproof

Project Wycheproof已经发现过40个加密算法的缺陷

鉴于Java能够实现通用加密界面，Project Wycheproof利用Java开发。Project Wycheproof包括针对最流行的加密算法的测试，如AES-EAX、AES-GCM、DH、DHIES、DSA、ECDH、ECDSA、ECIES和RSA。Google专家开发了80多个测试用例，在RSA、DSA、ECDH和DH中发现了40多个缺陷。

Google指出Project Wycheproof目前并不完善，因为加密专家时常在协议中发现新漏洞。然而，该搜索巨头认为该工具对开发人员和用户来说都非常有用，因为加密算法的安全实现并非一项简单任务。

Google的安全工程师和Wycheproof的维护人员，Daniel Bleichenbacher和Thai Duong，在一篇博文中表示：

“该项目的主要动机是设定一个能实现的目标。这就是我们将其命名为Wycheproof（世界上最小的山）的原因。山越小就越容易爬。”

尽管Project Wycheproof工具由Google安全团队的成员开发和维护，但该工具不是Google的官方产品。

Google提倡将Project Wycheproof工具发现的漏洞提报给厂商

Google欢迎各界人士积极参与，献计献策，建议将发现的漏洞直接上报给受影响库的维护人员，并在漏洞修复或确认后再提交测试。

鉴于Google发现的某些缺陷正在由厂商进行修复，因此Google尚未对其公布于众。

同时，Google表示针对某些开源产品，设立“漏洞举报奖励制度”，对在Project Wycheproof测试中发现漏洞的人员进行奖励。

Project Wycheproof并非是Google在今年发布的唯一安全工具。除此之外，Google还发布了开源模糊测试服务OSS-Fuzz、厂商安全评估调查问卷框架、二进制对比工具BinDiff、以及跨站脚本攻击（XSS）防护工具CSP Evaluator和CSP Mitigator。