-
题名密码算法库模糊测试技术研究综述
- 1
-
-
作者
马福辰
周远航
陈元亮
颜臻
姜宇
孙家广
-
机构
清华大学软件学院
-
出处
《密码学报(中英文)》
CSCD
北大核心
2024年第3期504-520,共17页
-
基金
国家重点研发计划(2022YFB3104000)。
-
文摘
密码算法库是提供加密、解密、签名、验证等多种密码学相关功能的基础软件库.为了保证网络传输的安全性,很多系统软件都会使用密码算法库来实现数据的隐私性,以确保数据不被恶意窃取利用.但是,密码算法库的实现过程中往往会引入一些漏洞,这些漏洞会导致系统在使用库中的函数时出现内存崩溃或者加密逻辑失效等后果,对系统的安全性和可用性带来极大的影响.模糊测试是一种检测软件实现漏洞的有效技术,它通过生成大量的测试输入,观察被测软件的反馈,进而检测漏洞是否存在.这种技术已经被应用于密码算法库的漏洞检测中,并且发现了包括OpenSSL、SymCrypt、Crypto++等常用的密码算法库中的漏洞.本文通过总结对密码算法库进行高效测试的主要难点,分析了对密码算法库进行模糊测试的核心需求,并提出了密码算法库模糊测试工具所面临的主要挑战.接着,针对目前常用的6款面向密码算法库的模糊测试工具进行了剖析和评估.最后,根据目前的工具在漏洞挖掘能力、代码覆盖率和输入有效性等评估指标上的表现,提出了密码算法库模糊测试未来可能的研究方向和优化策略.
-
关键词
模糊测试
密码算法库
漏洞挖掘
-
Keywords
software testing
cryptographic library
vulnerability detection
-
分类号
TP309.7
[自动化与计算机技术—计算机系统结构]
-