Google pone en marcha pruebas de seguridad para software de cifrado

“En criptografía, los errores sutiles pueden tener consecuencias catastróficas, y los errores en las bibliotecas de software de cifrado de código abierto se repiten con demasiada frecuencia y permanecen sin ser descubiertas durante demasiado tiempo”.

Con estas palabras contextualiza Google su última iniciativa. Se trata del denominado Project Wycheproof, llamado así en honor a la montaña más pequeña del mundo. Un nombre que quiere reflejar que su cometido es posible, que se puede controlar, que se trata de un objetivo factible. Ese objetivo no es otro que garantizar la seguridad en las bibliotecas de software de cifrado.

Para ello, ofrece toda una serie de pruebas escritas en Java que se encargan de buscar deficiencias o errores de seguridad en los algoritmos criptográficos, en base a los ataques más conocidos. Lo hace por ejemplo en RSA, en la criptografía de curva elíptica, en el cifrado autenticado…

“Comprender cómo implementar cifrado de forma segura requiere décadas de digestión de literatura académica”, dice Google. “Somos conscientes de que los ingenieros de software corrigen y previenen bugs con pruebas unitarias, y hemos encontrado que muchas cuestiones criptográficas pueden resolverse de la misma forma”. No en vano, el proyecto de Google se define directamente como un conjunto de pruebas unitarias.

“Pasar las pruebas no implica que la biblioteca sea segura”, advierte sin embargo la compañía de la G, que ha querido dejar claro que Project Wycheproof sigue en desarrollo, sobre todo teniendo en cuenta que “los criptógrafos descubren constantemente nuevas debilidades en los protocolos criptográficos”.

Pero pasar el corte sí “significa que no es vulnerable a los ataques que Project Wycheproof trata de detectar”. Y permite saberlo con facilidad, sin ser un experto en criptografía.