Kritéria pro hodnocení bezpečnosti kryptografických knihoven

Abstract

Využití kryptografických knihoven je dnes velmi časté, zároveň kvalita těchto knihoven přímo ovlivňuje bezpečnost software, který je používá. Kryptografie se používá, když je potřeba ukrýt data. To bývá vyžadováno jak pro samotné uložení dat, tak pro jejich přenos. Oslabením tohoto ukrývání dat může dojít k úniku. Tato práce se zabývá kryptografickými knihovnami, a to zejména kritérii, která by se dala použít pro hodnocení jejich bezpečnosti. Jsou zde rozebrána kritéria pro hodnocení kvality open-source vývoje, hlavně jeho důrazu na bezpečnost. Dále se práce věnuje použitelnosti knihoven z pohledu vývojářů. Je zkoumáno rozhraní knihoven a jejich dokumentace. Nakonec jsou dohledávány chyby v použití vyskytující se přímo v aplikacích používajících vybrané knihovny. Výsledkem je soubor vyzkoušených kritérií, která jednak slouží k ohodnocení spolehlivosti, bezpečnosti a kvality konkrétní knihovny a také k porovnání knihoven mezi sebou.

The use of cryptographic libraries is very common today, at the same time, the quality of these libraries greatly affects the security of the software that uses them. Cryptography is used when there is a need to hide data. This is required both for data storage and for data transmission. Weakening this data security can lead to leakage. This work studies the cryptographic libraries, and in particular the criteria that could be used for evaluation of their security. Criteria for evaluating the quality of open-source development, especially its emphasis on security, are discussed here. Furthermore, the usability of libraries from the point of view of developers is studied. The interface of libraries and their documentation is examined. Finally, usage mistakes found directly in applications using the selected libraries are traced. The result is a set of tested criteria, which serve both to evaluate the reliability, security and quality of a particular library, and also to compare libraries with each other.