Google julkaisi lähdekoodin Paranoidista, projektista, jonka tarkoituksena on havaita kryptografisten artefaktien haavoittuvuuksia

vainoharhainen

Paranoidinen projekti kryptografisten esineiden heikkouksien havaitsemiseksi

Los Googlen turvallisuustiimin jäsenet, julkaistu blogikirjoituksen kautta ovat tehneet päätöksen "Paranoid"-kirjaston lähdekoodin julkaisemisesta, suunniteltu havaitsemaan tunnetut heikkoudet suuressa määrässä epäluotettavia kryptografisia artefakteja, kuten haavoittuvissa laitteisto- ja ohjelmistojärjestelmissä (HSM) luoduissa julkisissa avaimissa ja digitaalisissa allekirjoituksissa.

El proyecto voi olla hyödyllinen algoritmien ja kirjastojen käytön epäsuorassa arvioinnissa joissa on tunnettuja aukkoja ja haavoittuvuuksia, jotka vaikuttavat luotujen avainten ja digitaalisten allekirjoitusten luotettavuuteen, riippumatta siitä, ovatko varmennettavat artefaktit luotu laitteistolla, johon ei voida päästä varmennusta varten, tai suljetuista komponenteista, jotka ovat musta laatikko.

Tämän lisäksi Google mainitsee myös, että musta laatikko voi luoda artefaktin, jos yhdessä skenaariossa sitä ei ole luotu jollain Googlen omalla työkalulla, kuten Tink. Näin tapahtuisi myös, jos se olisi luotu kirjastolla, jonka Google voi tarkastaa ja testata Wycheproofin avulla.

Kirjaston avaamisen tavoitteena on lisätä läpinäkyvyyttä, antaa muiden ekosysteemien käyttää sitä (kuten varmentajat, CA:t, joiden on suoritettava samanlaisia ​​tarkastuksia noudattaakseen vaatimustenmukaisuutta) ja saada palautetta ulkopuolisilta tutkijoilta. Näin tehdessämme pyydämme osallistujia siinä toivossa, että kun tutkijat löytävät ja raportoivat kryptografisista haavoittuvuuksista, tarkistukset lisätään kirjastoon. Näin Google ja muu maailma voivat reagoida nopeasti uusiin uhkiin.

Kirjasto voi myös jäsentää näennäissatunnaisten lukujen joukkoa määrittääksesi generaattorisi luotettavuuden ja käyttämällä suurta artefaktien kokoelmaa tunnistaaksesi aiemmin tuntemattomia ongelmia, jotka johtuvat ohjelmointivirheistä tai epäluotettavien näennäissatunnaislukugeneraattoreiden käytöstä.

Toisaalta mainitaan myös se Paranoid sisältää toteutuksia ja optimointeja, jotka ne poimittiin olemassa olevasta kryptografiaan liittyvästä kirjallisuudesta, mikä viittaa siihen, että näiden esineiden luominen oli joissain tapauksissa virheellistä.

Tarkasteltaessa yli 7 miljardin varmenteen tiedot sisältävän julkisen CT (Certificate Transparency) -rekisterin sisältöä ehdotetun kirjaston avulla, ongelmallisia elliptisiin käyriin (EC) perustuvia julkisia avaimia ja algoritmiin perustuvia digitaalisia allekirjoituksia ei löytynyt. ECDSA, mutta ongelmalliset julkiset avaimet löytyivät RSA-algoritmin mukaan.

ROCA-haavoittuvuuden paljastamisen jälkeen mietimme, mitä muita heikkouksia mustien laatikoiden luomissa kryptografisissa artefakteissa voi olla ja mitä voisimme tehdä havaitaksemme ja lieventääksemme niitä. Aloitimme sitten työskentelyn tämän projektin parissa vuonna 2019 ja rakensimme kirjaston, joka tarkistaa lukuisia kryptografisia esineitä vastaan.

Kirjasto sisältää toteutuksia ja optimointeja olemassa olevista kirjallisuudesta löytyvistä teoksista. Kirjallisuus osoittaa, että artefaktien luominen on joissakin tapauksissa virheellinen; Alla on esimerkkejä julkaisuista, joihin kirjasto perustuu.

Erityisesti 3586 epäluotettavaa avainta tunnistettiin luotu koodilla, jossa on korjaamaton CVE-2008-0166-haavoittuvuus Debianin OpenSSL-paketissa, 2533 avainta, jotka liittyvät CVE-2017-15361-haavoittuvuuteen Infineon-kirjastossa, ja 1860 avainta haavoittuvuudella, joka liittyy suurimman yhteisen jakajan löytämiseen (DCM). ).

Huomaa, että hankkeen on tarkoitus olla kevyt laskennallisten resurssien käytössä. Tarkistusten on oltava riittävän nopeita suorittaakseen suuren määrän artefakteja, ja niiden on oltava järkeviä todellisessa tuotantoympäristössä. Projektit, joissa on vähemmän rajoituksia, kuten RsaCtfTool, voivat olla sopivampia erilaisiin käyttötapauksiin.

Lopuksi mainitaan, että käyttöön jääneistä ongelmallisista varmenteista lähetettiin tiedot varmennekeskuksille niiden peruuttamista varten.

Varten kiinnostunut tietämään lisää projektista, heidän pitäisi tietää, että koodi on kirjoitettu Pythonilla ja se on julkaistu Apache 2.0 -lisenssillä. Voit tutustua yksityiskohtiin sekä lähdekoodiin Seuraavassa linkissä.


Ole ensimmäinen kommentti

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastuussa tiedoista: Miguel Ángel Gatón
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.