wycheproof
작성자 trailofbitswycheproof 스킬은 Wycheproof 테스트 벡터를 사용해 암호 구현을 검증하는 데 도움을 줍니다. Security Audit 워크플로에서 알려진 공격, 엣지 케이스, 그리고 통과/실패 판정을 중심으로 살펴볼 수 있습니다. AES-GCM, ECDSA, ECDH, RSA 및 관련 프리미티브를 점검할 때, 일반적인 암호 프롬프트보다 훨씬 덜 추측에 의존하게 해 줍니다.
이 스킬의 점수는 78/100으로, 디렉터리 사용자에게 꽤 탄탄한 후보입니다. 저장소에는 에이전트가 Wycheproof를 언제 사용해야 하는지 파악하고, 일반적인 프롬프트보다 덜 추측에 의존해 암호 테스트 작업에 적용하는 데 도움이 되는 실제 워크플로 콘텐츠가 충분히 들어 있습니다. 다만 설치 명령이나 보조 파일 같은 도입 지원 요소는 다소 부족합니다.
- 암호 검증을 위한 트리거와 범위가 분명합니다. 전면 설명에서 알려진 공격과 엣지 케이스를 대상으로 암호 코드를 테스트하라고 안내합니다.
- 운영 콘텐츠가 충분합니다. 본문이 크고 구조화되어 있으며, 여러 제목, 워크플로 섹션, 코드 펜스로 구성되어 있어 에이전트가 따라가기 좋습니다.
- 도메인 가치가 구체적입니다. 테스트 벡터, 테스트 그룹, 결과 플래그 같은 핵심 개념을 설명해 구현 테스트에서 에이전트 활용도를 높여 줍니다.
- 설치 명령이나 함께 쓸 스크립트/리소스가 없어, 호출과 실행 절차는 사용자가 직접 연결해야 할 수 있습니다.
- 설명이 간결하고 지원 파일도 적은 편이라, 환경별 설정과 통합 세부사항은 여전히 수동 해석이 필요할 수 있습니다.
wycheproof skill 개요
wycheproof는 무엇을 위한 도구인가
wycheproof skill은 Wycheproof 테스트 벡터를 활용해 암호 구현이 알려진 엣지 케이스와 공격 패턴에 대해 제대로 동작하는지 검증하도록 돕습니다. 라이브러리, 서비스, 또는 제품이 올바른 입력은 받아들이고 잘못된 입력은 거부하며, 애매한 경우에도 안전하게 실패하는지 확인해야 하는 Security Audit 워크플로에서 특히 유용합니다.
누가 설치하면 좋은가
암호 코드를 감사하거나, 보안 민감 애플리케이션을 유지보수하거나, AES-GCM, ECDSA, ECDH, RSA 같은 원시(primitives)를 반복적으로 테스트할 방법이 필요하다면 wycheproof skill을 설치하세요. 특히 단순한 프롬프트만으로는 충분하지 않을 때 효과적입니다. 실패 방식이 미묘해서, 코드가 “정상 예제”에서는 잘 작동해 보여도 여전히 취약할 수 있기 때문입니다.
무엇이 다른가
Wycheproof는 일반적인 암호 튜토리얼이 아닙니다. wycheproof skill의 가치는 알려진 잘못된 입력, 구조화된 테스트 그룹, 그리고 pass/fail/acceptable 결과에 집중한다는 데 있습니다. 그래서 리뷰나 수정 작업에서 결정에 바로 쓸 수 있는 품질의 결과가 필요할 때, 단순한 “내 암호를 테스트해줘” 프롬프트보다 훨씬 유용합니다.
wycheproof skill 사용법
설치하고 skill을 먼저 살펴보기
skills manager에서 wycheproof 설치 흐름을 진행한 뒤, 먼저 SKILL.md를 여세요. 이 repo에서는 SKILL.md가 유일한 지원 파일이므로, 따로 배워야 할 script나 rules layer가 없습니다. 따라서 핵심은 skill 본문에서 워크플로, 테스트 범주, 제약 조건을 직접 뽑아내는 것입니다.
대략적인 목표를 쓸 만한 프롬프트로 바꾸기
wycheproof는 암호 원시, 구현 언어, 테스트 목표를 처음부터 함께 주었을 때 가장 잘 작동합니다. 약한 요청은 “내 암호 코드를 확인해줘”입니다. 더 강한 요청은 “wycheproof skill을 사용해서 Java ECDSA verifier를 잘못된 서명과 경계 조건에 대해 테스트해줘. 우리 정책상 어떤 벡터는 pass, fail, acceptable로 처리해야 하는지도 알려줘”처럼 구체적으로 쓰는 것입니다.
시작할 때 필요한 입력을 제대로 주기
최선의 결과를 내려면 다음을 포함하세요:
- 알고리즘 또는 프로토콜
- 언어 또는 library
- 환경에서 성공으로 간주되는 기준
- regression testing, audit support, 실패 사례 triage 중 무엇이 필요한지
- FIPS mode, 레거시 호환성, 플랫폼 제한 같은 제약
이 정보가 중요한 이유는, wycheproof의 출력이 엄격한 거부 검증인지, 호환성 동작인지, 아니면 이미 정해진 예외 목록을 확인하는지에 따라 달라지기 때문입니다.
워크플로를 순서대로 읽기
실용적인 wycheproof 가이드는 배경, 핵심 개념, 사용 시점, 그다음 테스트 워크플로 섹션의 순서로 읽는 것이 좋습니다. Security Audit에 활용한다면, 유효한 벡터와 무효한 벡터, 또는 허용 가능한 벡터를 어떻게 구분하는지 특히 주의해서 보세요. 잘못된 결론을 막아 주는 핵심이 바로 그 분류입니다.
wycheproof skill FAQ
wycheproof는 보안 감사에만 쓰이나요?
아닙니다. wycheproof skill은 감사에 유용하지만, 구현 단계와 회귀 테스트에도 도움이 됩니다. 암호 기능을 배포한다면, 이 skill은 audit finding이 되기 전에 문제를 잡는 데 도움이 됩니다.
먼저 암호 전문가여야 하나요?
아니요. 다만 어떤 primitive인지, 기대 동작이 무엇인지 설명할 만큼의 맥락은 있어야 합니다. 어떤 벡터가 pass해야 하는지, fail해야 하는지, 아니면 호환성 규칙에 따라 받아들여야 하는지 말할 수 없다면 출력의 실행 가능성은 떨어집니다.
일반 프롬프트와 어떻게 다른가요?
일반 프롬프트는 대체로 뻔한 체크리스트를 만들어낼 수 있습니다. wycheproof skill은 구조화된 테스트 벡터 추론과 엣지 케이스 커버리지가 필요할 때 더 좋습니다. 넓은 수준의 조언이 아니라 알려진 공격 패턴에 작업을 고정해 두기 때문에 추측을 줄여 줍니다.
언제는 사용하지 말아야 하나요?
암호 프로토콜을 처음부터 설계하려고 하거나, 암호학을 높은 수준에서 설명하려는 목적이라면 wycheproof를 쓰지 마세요. 이 skill은 검증과 테스트용이지, 이론 교육이나 제품 아키텍처 설명용이 아닙니다.
wycheproof skill 개선 방법
skill에 정확한 암호 대상을 지정하기
품질을 가장 크게 끌어올리는 방법은 primitive, implementation, failure mode를 정확히 적는 것입니다. 예를 들어 “Python cryptography의 RSA-PSS verifier가 특정 salt length에서 실패한다”는 “내 서명 코드가 망가졌다”보다 훨씬 좋습니다. 대상이 정확할수록 알맞은 Wycheproof 벡터에 매핑하기 쉽습니다.
수용 정책을 초기에 분명히 밝히기
wycheproof 작업에서 흔한 실패 방식은 보안상의 정합성과 제품 호환성을 섞어버리는 것입니다. 무효 벡터를 엄격히 거부하고 싶은지, 레거시 입력과의 호환성이 필요한지, 아니면 문서화된 allowlist를 쓰는지 먼저 말하세요. 이 구분에 따라 결과가 달라지고, 첫 번째 결과 뒤에 불필요한 왕복 질문을 줄일 수 있습니다.
버그만이 아니라 벡터 클래스도 함께 반복해서 좁히기
첫 결과에서 실패가 나오면, 다음 요청에서는 인접한 사례를 함께 물어보세요: 가까운 key size, 잘못된 encoding, 잘린 입력, 같은 test group의 경계값 같은 것들입니다. Wycheproof의 강점은 엣지 케이스 계열을 넓게 커버하는 데 있으므로, 단순 재실행보다 이런 식의 확장이 보통 더 유용합니다.
출력으로 회귀 테스트를 만들기
문제를 확인한 뒤에는 실패한 케이스를 자신의 테스트 suite에 영구 테스트로 옮기세요. wycheproof skill은 어떤 벡터가 왜 실패했는지, 앞으로 어떤 조건을 강제해야 하는지까지 남길 때 가장 가치가 큽니다. 그렇게 해야 지속 가능한 보안 감사 기록이 됩니다.