Paranoidni projekat za otkrivanje slabosti u kriptografskim artefaktima
u Najavili su članovi Google sigurnosnog tima putem objave na blogu su donijeli odluku da objave izvorni kod biblioteke "Paranoid", dizajniran za otkrivanje poznatih slabosti u velikim količinama nepouzdanih kriptografskih artefakata, kao što su javni ključevi i digitalni potpisi kreirani u ranjivim hardverskim i softverskim (HSM) sistemima.
Projekat može biti korisno za indirektnu evaluaciju upotrebe algoritama i biblioteka koji imaju poznate praznine i ranjivosti koje utiču na pouzdanost generisanih digitalnih ključeva i potpisa, ako su artefakti koji se verificiraju generirani hardverom koji je nedostupan za verifikaciju ili zatvorenim komponentama koje su crna kutija.
Osim toga, Google također spominje da crna kutija može generirati artefakt ako, u jednom scenariju, nije generirana pomoću jednog od Googleovih vlastitih alata kao što je Tink. To bi se također dogodilo da je generirana od strane biblioteke koju Google može pregledati i testirati koristeći Wycheproof.
Cilj otvaranja biblioteke je povećanje transparentnosti, omogućavanje drugim ekosistemima da je koriste (kao što su sertifikacioni organi, CA koji treba da izvrše slične provere da bi ispunili uslove) i primanje doprinosa od spoljnih istraživača. Čineći to, pozivamo na priloge, u nadi da će nakon što istraživači pronađu i prijave kriptografske ranjivosti, provjere biti dodane biblioteci. Na ovaj način Google i ostatak svijeta mogu brzo odgovoriti na nove prijetnje.
Biblioteka također može analizirati skupove pseudoslučajnih brojeva da odredite pouzdanost vašeg generatora i, koristeći veliku kolekciju artefakata, identifikujete ranije nepoznate probleme koji nastaju zbog programskih grešaka ili upotrebe nepouzdanih generatora pseudoslučajnih brojeva.
S druge strane, također se spominje da Paranoid predstavlja implementacije i optimizacije koje su izvučeni iz postojeće literature koja se odnosi na kriptografiju, što implicira da je generiranje ovih artefakata u nekim slučajevima bilo manjkavo.
Provjerom sadržaja javnog registra CT (Certificate Transparency), koji uključuje informacije o više od 7 milijardi certifikata, korištenjem predložene biblioteke, nisu pronađeni problematični javni ključevi zasnovani na eliptičnim krivuljama (EC) i digitalnim potpisima baziranim na algoritmu. ECDSA, ali su problematični javni ključevi pronađeni prema RSA algoritmu.
Nakon otkrivanja ROCA ranjivosti, pitali smo se koje druge slabosti mogu postojati u kriptografskim artefaktima koje generiraju crne kutije i šta možemo učiniti da ih otkrijemo i ublažimo. Zatim smo počeli raditi na ovom projektu 2019. godine i kreirali biblioteku za provjeru velikih količina kriptografskih artefakata.
Biblioteka sadrži implementacije i optimizacije postojećih radova pronađenih u literaturi. Literatura pokazuje da je generisanje artefakata u nekim slučajevima pogrešno; Ispod su primjeri publikacija na kojima se biblioteka zasniva.
Posebno Identificirano je 3586 nepouzdanih ključeva generiran kodom s nezakrpljenom ranjivosti CVE-2008-0166 u OpenSSL paketu za Debian, 2533 ključa povezana s CVE-2017-15361 ranjivosti u Infineon biblioteci i 1860 ključeva s ranjivosti povezane s pronalaženjem najvećeg zajedničkog divi (DCM ).
Imajte na umu da projekat ima za cilj da bude lagan u korišćenju računarskih resursa. Provjere moraju biti dovoljno brze da se pokreću na velikom broju artefakata i moraju imati smisla u stvarnom kontekstu proizvodnje. Projekti s manje ograničenja, kao što je RsaCtfTool, mogu biti prikladniji za različite slučajeve upotrebe.
Na kraju se spominje da je informacija o problematičnim certifikatima koji su ostali u upotrebi poslana u certifikacijske centre na opoziv.
Za zainteresovani da saznaju više o projektu, trebali biste znati da je kod napisan u Python-u i da se distribuira pod licencom Apache 2.0. Možete pogledati detalje, kao i izvorni kod Na sledećem linku.