Παρανοϊκό ένα έργο για τον εντοπισμό αδυναμιών σε κρυπτογραφικά αντικείμενα
Ο μέλη της ομάδας ασφαλείας της Google, απελευθερώθηκαν μέσω μιας ανάρτησης ιστολογίου έχουν λάβει την απόφαση να απελευθερώσουν τον πηγαίο κώδικα της βιβλιοθήκης "Paranoid", έχει σχεδιαστεί για να ανιχνεύει γνωστές αδυναμίες σε μεγάλο αριθμό αναξιόπιστων κρυπτογραφικών τεχνουργημάτων, όπως δημόσια κλειδιά και ψηφιακές υπογραφές που δημιουργούνται σε ευάλωτα συστήματα υλικού και λογισμικού (HSM).
Το έργο μπορεί να είναι χρήσιμο για έμμεση αξιολόγηση της χρήσης αλγορίθμων και βιβλιοθηκών που έχουν γνωστά κενά και τρωτά σημεία που επηρεάζουν την αξιοπιστία των κλειδιών και των ψηφιακών υπογραφών που δημιουργούνται, είτε τα τεχνουργήματα που επαληθεύονται δημιουργούνται από υλικό που δεν είναι προσβάσιμο για επαλήθευση είτε από κλειστά στοιχεία που αποτελούν μαύρο κουτί.
Επιπλέον, η Google αναφέρει επίσης ότι ένα μαύρο κουτί μπορεί να δημιουργήσει ένα τεχνούργημα εάν, σε ένα σενάριο, δεν δημιουργήθηκε από ένα από τα εργαλεία της Google όπως το Tink. Αυτό θα συνέβαινε επίσης εάν είχε δημιουργηθεί από μια βιβλιοθήκη την οποία η Google μπορεί να επιθεωρήσει και να δοκιμάσει χρησιμοποιώντας το Wycheproof.
Ο στόχος του ανοίγματος της βιβλιοθήκης είναι να αυξηθεί η διαφάνεια, να επιτραπεί σε άλλα οικοσυστήματα να τη χρησιμοποιούν (όπως οι αρχές πιστοποίησης, οι ΑΠ που πρέπει να κάνουν παρόμοιους ελέγχους για να τηρήσουν τη συμμόρφωση) και να λάβουν συνεισφορές από εξωτερικούς ερευνητές. Με αυτόν τον τρόπο, ζητάμε συνεισφορές, με την ελπίδα ότι αφού οι ερευνητές βρουν και αναφέρουν κρυπτογραφικά τρωτά σημεία, οι έλεγχοι θα προστεθούν στη βιβλιοθήκη. Με αυτόν τον τρόπο, η Google και ο υπόλοιπος κόσμος μπορούν να ανταποκριθούν γρήγορα σε νέες απειλές.
Βιβλιοθήκη μπορεί επίσης να αναλύσει σύνολα ψευδοτυχαίων αριθμών για να καθορίσετε την αξιοπιστία της γεννήτριας σας και, χρησιμοποιώντας μια μεγάλη συλλογή τεχνουργημάτων, να εντοπίσετε άγνωστα προβλήματα που προέκυψαν από σφάλματα προγραμματισμού ή τη χρήση αναξιόπιστων γεννητριών ψευδοτυχαίων αριθμών.
Από την άλλη πλευρά, αναφέρεται επίσης ότι Το Paranoid διαθέτει υλοποιήσεις και βελτιστοποιήσεις που αντλήθηκαν από την υπάρχουσα βιβλιογραφία που σχετίζεται με την κρυπτογραφία, υπονοώντας ότι η δημιουργία αυτών των αντικειμένων ήταν εσφαλμένη σε ορισμένες περιπτώσεις.
Κατά τον έλεγχο των περιεχομένων του δημόσιου μητρώου CT (Certificate Transparency), το οποίο περιλαμβάνει πληροφορίες για περισσότερα από 7 δισεκατομμύρια πιστοποιητικά, χρησιμοποιώντας την προτεινόμενη βιβλιοθήκη, δεν βρέθηκαν προβληματικά δημόσια κλειδιά που βασίζονται σε ελλειπτικές καμπύλες (EC) και ψηφιακές υπογραφές με βάση τον αλγόριθμο. ECDSA, αλλά βρέθηκαν προβληματικά δημόσια κλειδιά σύμφωνα με τον αλγόριθμο RSA.
Μετά την αποκάλυψη της ευπάθειας ROCA, αναρωτηθήκαμε ποιες άλλες αδυναμίες μπορεί να υπάρχουν στα κρυπτογραφικά τεχνουργήματα που δημιουργούνται από τα μαύρα κουτιά και τι θα μπορούσαμε να κάνουμε για να τα εντοπίσουμε και να τα μετριάζουμε. Στη συνέχεια ξεκινήσαμε να εργαζόμαστε σε αυτό το έργο το 2019 και δημιουργήσαμε μια βιβλιοθήκη για να πραγματοποιήσουμε ελέγχους σε μεγάλο αριθμό κρυπτογραφικών αντικειμένων.
Η βιβλιοθήκη περιέχει υλοποιήσεις και βελτιστοποιήσεις υφιστάμενων έργων που βρίσκονται στη βιβλιογραφία. Η βιβλιογραφία δείχνει ότι η δημιουργία τεχνουργημάτων είναι εσφαλμένη σε ορισμένες περιπτώσεις. Ακολουθούν παραδείγματα δημοσιεύσεων στις οποίες βασίζεται η βιβλιοθήκη.
Συγκεκριμένα Εντοπίστηκαν 3586 μη αξιόπιστα κλειδιά που δημιουργείται από κώδικα με το μη επιδιορθωμένο θέμα ευπάθειας CVE-2008-0166 στο πακέτο OpenSSL για το Debian, 2533 κλειδιά που σχετίζονται με την ευπάθεια CVE-2017-15361 στη βιβλιοθήκη Infineon και 1860 κλειδιά με την ευπάθεια που σχετίζεται με την εύρεση του μεγαλύτερου κοινού divis ).
Σημειώστε ότι το έργο προορίζεται να είναι ελαφρύ στη χρήση υπολογιστικών πόρων. Οι έλεγχοι πρέπει να είναι αρκετά γρήγοροι ώστε να εκτελούνται σε μεγάλο αριθμό αντικειμένων και πρέπει να έχουν νόημα στο πλαίσιο παραγωγής του πραγματικού κόσμου. Έργα με λιγότερους περιορισμούς, όπως το RsaCtfTool , μπορεί να είναι πιο κατάλληλα για διαφορετικές περιπτώσεις χρήσης.
Τέλος, αναφέρεται ότι πληροφορίες για τα προβληματικά πιστοποιητικά που παρέμειναν σε χρήση στάλθηκαν στα κέντρα πιστοποίησης για την ανάκλησή τους.
Για ενδιαφέρεται να μάθει περισσότερα για το έργο, θα πρέπει να γνωρίζουν ότι ο κώδικας είναι γραμμένος σε Python και κυκλοφορεί με την άδεια Apache 2.0. Μπορείτε να συμβουλευτείτε τις λεπτομέρειες, καθώς και τον πηγαίο κώδικα Στον ακόλουθο σύνδεσμο.