Skip to main content

wycheproof

wycheproof

Catalogue généré le 2026-05-11

En une phrase

Wycheproof providesest testune vectorsénorme forcollection validatingde cryptographic"pièges implementations.crypto" maintenus par Google : des entrées tordues, déjà connues pour casser les implémentations bancales, qu'on jette à ta lib crypto pour voir si elle tient le coup.

Quand l'utiliser

  • UseTester whenune testingimplémentation maison ou tierce d'un algo crypto code(RSA, forAES, knownECDSA, attacksHMAC…).
andAuditer edgeune cases.bibliothèque crypto avant intégration dans un produit. Vérifier qu'une lib supporte correctement les courbes elliptiques (curves). Tester un wallet ou un client blockchain qui valide des signatures. Vérifier que ta lib rejette bien les cas vicieux (zéro, courbes invalides, paddings cassés…).

Comment l'invoquer

  • Slash command : /wycheproof (si exposé dans ton CLI)
  • Phrases déclencheurs (texte) : voir"crypto latest descriptionvectors", complète"Wycheproof ci-dessoustests", "cryptographic edge cases"
  • Auto-invocation : surSur demande explicite

Description complètedétaillée

Wycheproof, c'est un trésor pour qui audite de la crypto. C'est une collection massive de "test vectors" — des couples entrée/sortie connus qui correspondent à des cas d'attaque réels documentés au fil des années. Originalement développé par Google, c'est maintenant un projet communautaire où chercheurs et industriels contribuent leurs trouvailles.

Pourquoi c'est précieux ? Implémenter de la crypto correctement, c'est terriblement dur. Un détail oublié (un padding mal géré, un point sur une courbe invalide accepté, un IV réutilisé…) suffit à briser toute la sécurité. Wycheproof providescontient des entrées qui ressemblent à de la crypto valide mais qui exploitent des bugs subtils. Si ta lib accepte une signature falsifiée, déchiffre quelque chose qu'elle devrait refuser, ou plante sur un input border-line — Wycheproof le révèle.

Concrètement, tu télécharges les fichiers JSON de test vectors forcorrespondant validatingà cryptographicton implementations.algo Use(par whenexemple testing"ECDSA cryptosecp256k1"), codetu forécris knownun attackspetit andharness edgequi cases.boucle dessus et applique ta lib, et tu compares le résultat attendu (valid, invalid, acceptable) avec ce que ta lib renvoie. Tout écart = bug potentiel. C'est devenu un standard de validation crypto, notamment dans l'écosystème blockchain où les bugs de validation de signature peuvent coûter des millions.

Pour aller plus loin

Wycheproof

Pour

Wycheproofles isexemples anconcrets, extensiveoptions collectionde ofconfiguration test vectors designed to verify the correctness of cryptographic implementations and test against known attacks. Originally developed by Google, it is now a community-managed project where contributors can add test vectors for specific cryptographic constructions.

Background

Key Concepts

Concept Description Test vector Input/output pair for validating crypto implementation correctness Test group Collection of test vectors sharing attributes (key size, IV size, curve) Result flag Indicates if test should pass (valid), fail (invalid), or is acceptable Edge case testing Testing for known vulnerabilities and attacket patterns

Why This Matters

Cryptographic implementations are notoriously difficult to get right. Even small bugs can:

    Expose private keys Allow signature forgery

    (extrait —avancés, voir le SKILL.md complet pour la suite)original.

    Source

    • Plugin : trailofbits/testing-handbook-skills
    • Nom interne : wycheproof
    • Fichier : /home/thymon/.claude/plugins/cache/trailofbits/testing-handbook-skills/1.0.1/skills/wycheproof/SKILL.md