constant-time-analysis
constant-time-analysis
Catalogue généré le 2026-05-11
En une phrase
DetectsDétecte timingles side-channelbouts vulnerabilitiesde incode cryptographiccryptographique code.qui mettent un peu plus (ou un peu moins) de temps à s'exécuter selon la valeur d'un secret — ce qui peut permettre à un attaquant de deviner ce secret juste en mesurant les temps de réponse.
Quand l'utiliser
UseTuwhenécrisimplementingouortureviewingreliscryptoducode,codeencounteringqui manipule des clés cryptographiques, des mots de passe, des tokens d'authentification.
/ % sign, verify, encrypt, decrypt derive_key.
Comment l'invoquer
- Slash command :
/constant-time-analysis(siouexposé dans ton CLI)/ct-check). - Phrases déclencheurs (texte) :
voir la description complète ci-dessous
Description complète
Detects timing side-channel vulnerabilities in cryptographic code. Use when implementing or reviewing crypto code, encountering division on secrets, secret-dependent branches, or constant-time programming questions in C, C++, Go, Rust, Swift, Java, Kotlin, C#, PHP, JavaScript, TypeScript, Python, or Ruby.
Pour aller plus loin
Constant-Time Analysis
Analyze cryptographic code to detect operations that leak secret data through execution timing variations.
When to Use
Concrete triggers:
/%signverifyencryptdecryptderive_keytu écris du code crypto.
WhenDescription NOT to Usedétaillée
Imagine
Pour qu'un code cryptographique soit sûr, il doit prendre exactement le même temps quel que soit le secret manipulé — on dit qu'il est « à temps constant ». Concrètement, ça veut dire éviter les branchements if (secret == x) qui prennent un chemin différent selon la valeur, et éviter certaines opérations comme la division qui peuvent être plus rapides sur certains nombres que sur d'autres. Le skill analyse le code (businessen logic,C, UI,C++, Go, Rust, Java, Python, JavaScript et plein d'autres langages) et signale tous les endroits qui ne respectent pas cette contrainte.
Il fournit un script ct_analyzer qui produit un rapport détaillé : chaque opération suspecte, sa ligne dans le code, et pourquoi elle est risquée. Il peut sortir en JSON pour intégration dans un pipeline CI. Particulièrement utile sur les opérations sensibles modernes (signatures Ed25519, encapsulation post-quantique type Kyber, etc.)
LanguagePour Selectionaller plus loin
BasedPour onles thedétails filetechniques, extensionexemples oret languagepatterns context, refer to the appropriate guide:
| Language | File Extensions | Guide |
(extrait —spécifiques, voir le SKILL.md complet pour la suite)original.
Source
- Plugin :
trailofbits/constant-time-analysis - Nom interne :
constant-time-analysis - Fichier :
/home/thymon/.claude/plugins/cache/trailofbits/constant-time-analysis/0.1.0/skills/constant-time-analysis/SKILL.md