Paranoid wani aiki don gano rauni a cikin kayan tarihi na sirri
da membobin kungiyar tsaro ta Google, da aka saki ta hanyar blog post sun yanke shawarar sakin lambar tushe na ɗakin karatu na "Paranoid", an ƙera shi don gano raunin da aka sani a cikin adadi mai yawa na kayan tarihi marasa inganci, kamar maɓallan jama'a da sa hannu na dijital da aka ƙirƙira a cikin madaidaitan kayan masarufi da tsarin software (HSM).
Wannan aikin zai iya zama da amfani ga kimanta kai tsaye na amfani da algorithms da dakunan karatu waɗanda ke da sanannun giɓi da lahani waɗanda ke shafar amincin maɓalli da sa hannu na dijital da aka samar, ko kayan aikin da ake tantancewa ana samar da su ta hanyar kayan aikin da ba a iya isa don tantancewa ko rufaffiyar abubuwan da ke cikin akwatin baƙar fata.
Bayan haka, Google ya kuma ambaci cewa akwatin baƙar fata na iya samar da kayan tarihi idan, a wani yanayi, ba ɗayan kayan aikin Google ne ya samar da shi ba kamar Tink. Wannan kuma zai faru idan ɗakin karatu ne ya samar da shi wanda Google zai iya dubawa da gwadawa ta amfani da Wycheproof.
Manufar buɗe ɗakin karatu shine ƙara bayyana gaskiya, ƙyale sauran halittu suyi amfani da shi (kamar Hukumomin Takaddun shaida, CA waɗanda ke buƙatar yin irin wannan cak don saduwa da yarda), da karɓar gudummawa daga masu bincike na waje. A yin haka, muna kira ga gudunmawa, da bege cewa bayan masu bincike gano da kuma bayar da rahoton rashin lafiyan boye-boye, za a kara cak a cikin laburare. Ta wannan hanyar, Google da sauran duniya na iya amsawa da sauri ga sabbin barazanar.
Laburare Hakanan zai iya rarraba jerin lambobin pseudorandom don tantance amincin janareta na ku kuma, ta yin amfani da tarin tarin kayan tarihi, gano matsalolin da ba a san su a baya ba waɗanda ke tasowa saboda kurakuran shirye-shirye ko amfani da na'urar samar da lambar bazuwar abin dogaro.
A gefe guda, an kuma ambata hakan Paranoid yana fasalta aiwatarwa da haɓakawa waɗanda an zana su ne daga littattafan da ake da su waɗanda ke da alaƙa da cryptography, yana nuna cewa ƙirƙirar waɗannan kayan tarihi ba su da lahani a wasu lokuta.
Lokacin duba abubuwan da ke cikin rajista na jama'a na CT (Takaddar Takaddun shaida), wanda ya haɗa da bayanai kan takaddun shaida sama da biliyan 7, ta amfani da ɗakin karatu da aka tsara, maɓallan jama'a masu matsala dangane da lanƙwasa elliptical (EC) da sa hannu na dijital dangane da algorithm ba a samo su ba. ECDSA, amma an samo maɓallan jama'a masu matsala bisa ga RSA algorithm.
Bayan bayyana rashin lafiyar ROCA, mun yi mamakin abin da wasu rauni za su iya kasancewa a cikin kayan aikin sirri da aka samar da akwatunan baƙar fata da abin da za mu iya yi don ganowa da rage su. Daga nan muka fara aiki a kan wannan aikin a cikin 2019 kuma mun gina ɗakin karatu don yin bincike akan adadi mai yawa na kayan tarihi.
Laburaren ya ƙunshi aiwatarwa da haɓaka ayyukan da ake samu a cikin wallafe-wallafen. Littattafai sun nuna cewa tsara kayan tarihi suna da nakasu a wasu lokuta; A ƙasa akwai misalan wallafe-wallafen da ɗakin karatu ya dogara da su.
Musamman An gano maɓallai 3586 marasa amana wanda aka ƙirƙira ta lambar tare da raunin CVE-2008-0166 da ba a buɗe ba a cikin kunshin OpenSSL don Debian, maɓallan 2533 da ke da alaƙa da raunin CVE-2017-15361 a cikin ɗakin karatu na Infineon, da maɓallan 1860 tare da raunin da ke da alaƙa da gano babban mai rarraba gama gari (DCM) ).
Lura cewa aikin yana nufin ya zama haske a kan amfani da albarkatun lissafi. Dole ne cak ɗin ya kasance da sauri don yin aiki akan adadi mai yawa na kayan tarihi kuma dole ne su yi ma'ana a cikin mahallin samarwa na zahiri. Ayyuka tare da ƙananan ƙuntatawa, kamar RsaCtfTool, na iya zama mafi dacewa ga lokuta daban-daban na amfani.
A ƙarshe, an ambaci cewa an aika da bayanai kan takaddun takaddun matsala da suka rage a aiki zuwa cibiyoyin ba da takaddun shaida don soke su.
Ga sha'awar ƙarin sani game da aikin, ya kamata su san cewa an rubuta lambar a Python kuma an sake shi a ƙarƙashin lasisin Apache 2.0. Kuna iya tuntuɓar cikakkun bayanai, da kuma lambar tushe A cikin mahaɗin mai zuwa.