Paranoïaque un projet pour détecter les faiblesses des artefacts cryptographiques
Les membres de l'équipe de sécurité de Google, ont publié via un article de blog ont pris la décision de publier le code source de la bibliothèque "Paranoid", conçu pour détecter les faiblesses connues dans un grand nombre d'artefacts cryptographiques non fiables, tels que les clés publiques et les signatures numériques créées dans des systèmes matériels et logiciels (HSM) vulnérables.
Le projet peut être utile pour l'évaluation indirecte de l'utilisation d'algorithmes et de bibliothèques qui présentent des lacunes et des vulnérabilités connues qui affectent la fiabilité des clés et des signatures numériques générées, que les artefacts en cours de vérification soient générés par du matériel inaccessible pour la vérification ou des composants fermés qui sont une boîte noire.
En plus de cela, Google mentionne également qu'une boîte noire peut générer un artefact si, dans un scénario, elle n'a pas été générée par l'un des propres outils de Google comme Tink. Cela se produirait également s'il était généré par une bibliothèque que Google peut inspecter et tester à l'aide de Wycheproof.
L'ouverture de la bibliothèque a pour objectif d'accroître la transparence, de permettre à d'autres écosystèmes de l'utiliser (comme les autorités de certification, les autorités de certification qui doivent effectuer des vérifications similaires pour se conformer à la conformité) et de recevoir des contributions de chercheurs extérieurs. Ce faisant, nous appelons à des contributions, dans l'espoir qu'une fois que les chercheurs auront trouvé et signalé des vulnérabilités cryptographiques, les vérifications seront ajoutées à la bibliothèque. De cette façon, Google et le reste du monde peuvent réagir rapidement aux nouvelles menaces.
La bibliothèque peut également analyser des ensembles de nombres pseudo-aléatoires pour déterminer la fiabilité de votre générateur et, à l'aide d'une grande collection d'artefacts, identifier des problèmes auparavant inconnus qui surviennent en raison d'erreurs de programmation ou de l'utilisation de générateurs de nombres pseudo-aléatoires non fiables.
D'autre part, il est également mentionné que Paranoid propose des implémentations et des optimisations qui ils ont été tirés de la littérature existante liée à la cryptographie, ce qui implique que la génération de ces artefacts était défectueuse dans certains cas.
Lors de la vérification du contenu du registre public CT (Certificate Transparency), qui comprend des informations sur plus de 7 milliards de certificats, à l'aide de la bibliothèque proposée, des clés publiques problématiques basées sur des courbes elliptiques (EC) et des signatures numériques basées sur l'algorithme n'ont pas été trouvées. ECDSA, mais des clés publiques problématiques ont été trouvées selon l'algorithme RSA.
Après la divulgation de la vulnérabilité ROCA, nous nous sommes demandé quelles autres faiblesses pouvaient exister dans les artefacts cryptographiques générés par les boîtes noires et ce que nous pouvions faire pour les détecter et les atténuer. Nous avons ensuite commencé à travailler sur ce projet en 2019 et construit une bibliothèque pour effectuer des vérifications sur un grand nombre d'artefacts cryptographiques.
La bibliothèque contient des implémentations et des optimisations de travaux existants trouvés dans la littérature. La littérature montre que la génération d'artefacts est défectueuse dans certains cas ; Vous trouverez ci-dessous des exemples de publications sur lesquelles la bibliothèque est basée.
En particulier, 3586 clés non fiables ont été identifiées généré par le code avec la vulnérabilité non corrigée CVE-2008-0166 dans le package OpenSSL pour Debian, 2533 clés associées à la vulnérabilité CVE-2017-15361 dans la bibliothèque Infineon et 1860 clés avec la vulnérabilité associée à la recherche du plus grand diviseur commun ( DCM ).
Notez que le projet se veut léger sur l'utilisation des ressources informatiques. Les vérifications doivent être suffisamment rapides pour s'exécuter sur un grand nombre d'artefacts et doivent avoir un sens dans le contexte de production réel. Les projets avec moins de restrictions, tels que RsaCtfTool , peuvent être plus appropriés pour différents cas d'utilisation.
Enfin, il est mentionné que des informations sur les certificats problématiques restés en usage ont été transmises aux centres de certification pour leur révocation.
Pour intéressé à en savoir plus sur le projet, ils doivent savoir que le code est écrit en Python et publié sous la licence Apache 2.0. Vous pouvez consulter les détails, ainsi que le code source dans le lien suivant.