Moncypher密码库现在已经过审核

2020-07-12 05:28:09

在这个2020年6月的项目中,在Moncypher作用域上花费了6天之后,Cure53团队的两名成员可以确认所提供的C代码很好地符合他们的审查。几乎没有发现具有有限的严重度证据,这是单核细胞很好的安全前提。更重要的是,代码异常干净,并展示了对安全功能的明确关注。它与嵌入式环境周围的典型目标相关,例如通过避免不必要的内存分配。

这些发现突出了一些与未记录的行为相关的例外(MON-01-001)和测试向量的轻微缺乏严格性(MON-01-004)。除此之外,在Moncypher代码本身中没有发现严重的问题。但是,在加密库设计中发现了一些问题(参见MON-01-005和MON-01-002)。最后,Monokex协议套件的规范被发现缺少关于其消息验证码(MON-01-006)行为的关键细节。在同一领域,Cure53还指出了证明其相对无框架的密钥派生机制(MON-01-003)的必要性。

总之,虽然Moncypher代码编写得很好,并且得到了干净的、有文档记录的代码和适当数量的测试向量的支持,但是Moncypher的开发者公开的API的高级设计可以使用更多的改进(MON-01-005),Monokex协议套件的规范(MON-01-006,MON-01-003)也可以使用更多的精细化(MON-01-005),就像Monokex协议套件的规范(MON-01-006,MON-01-003)一样。由于在本次审计的可用时间范围内没有发现高-或严重-严重的问题,Cure53以肯定的笔记总结了这项2020年的评估。

Cure53要感谢维护Moncypher的Loup Vaillant-David,感谢他在本次任务之前和期间出色的项目协调、支持和协助。为了赞助这个项目,需要向华盛顿开放技术基金提供特别奖励。

我个人要感谢Cure53的关心和专业精神。和他们一起工作是一种乐趣。同样也要感谢开放技术基金为审计提供资金。