क्रिप्टोग्राफिक कलाकृतियों में कमजोरियों का पता लगाने के लिए एक परियोजना को पागल बनाना
L Google सुरक्षा टीम के सदस्य, जारी किए गए एक ब्लॉग पोस्ट के माध्यम से "पैरानॉयड" पुस्तकालय के स्रोत कोड को जारी करने का निर्णय लिया है, बड़ी संख्या में अविश्वसनीय क्रिप्टोग्राफिक कलाकृतियों में ज्ञात कमजोरियों का पता लगाने के लिए डिज़ाइन किया गया, जैसे कि सार्वजनिक कुंजी और कमजोर हार्डवेयर और सॉफ्टवेयर सिस्टम (HSM) में बनाए गए डिजिटल हस्ताक्षर।
अल proyecto एल्गोरिदम और पुस्तकालयों के उपयोग के अप्रत्यक्ष मूल्यांकन के लिए उपयोगी हो सकता है जिनके पास ज्ञात अंतराल और कमजोरियां हैं जो उत्पन्न कीज़ और डिजिटल हस्ताक्षर की विश्वसनीयता को प्रभावित करते हैं, चाहे सत्यापित की जा रही कलाकृतियाँ हार्डवेयर द्वारा उत्पन्न की गई हों जो सत्यापन के लिए दुर्गम हों या बंद घटक जो एक ब्लैक बॉक्स हों।
इसके अलावा, Google यह भी उल्लेख करता है कि एक ब्लैक बॉक्स एक आर्टिफैक्ट उत्पन्न कर सकता है, यदि एक परिदृश्य में, यह Google के अपने टूल जैसे टिंक द्वारा उत्पन्न नहीं किया गया था। यह तब भी होगा जब यह किसी पुस्तकालय द्वारा उत्पन्न किया गया था जिसे Google Wycheproof का उपयोग करके निरीक्षण और परीक्षण कर सकता है।
पुस्तकालय खोलने का लक्ष्य पारदर्शिता बढ़ाना है, अन्य पारिस्थितिक तंत्रों को इसका उपयोग करने की अनुमति देना है (जैसे प्रमाणपत्र प्राधिकरण, सीए जिन्हें अनुपालन पूरा करने के लिए समान जांच करने की आवश्यकता है), और बाहरी शोधकर्ताओं से योगदान प्राप्त करना है। ऐसा करने में, हम योगदान के लिए बुला रहे हैं, इस उम्मीद में कि शोधकर्ताओं द्वारा क्रिप्टोग्राफिक कमजोरियों को खोजने और रिपोर्ट करने के बाद, चेक को पुस्तकालय में जोड़ा जाएगा। इस तरह, Google और बाकी दुनिया नए खतरों का तुरंत जवाब दे सकती है।
पुस्तकालय छद्म यादृच्छिक संख्याओं के सेट को भी पार्स कर सकते हैं अपने जनरेटर की विश्वसनीयता निर्धारित करने के लिए और, कलाकृतियों के एक बड़े संग्रह का उपयोग करके, प्रोग्रामिंग त्रुटियों या अविश्वसनीय छद्म-यादृच्छिक संख्या जनरेटर के उपयोग के कारण उत्पन्न होने वाली पूर्व अज्ञात समस्याओं की पहचान करें।
दूसरी ओर, यह भी उल्लेख किया गया है कि पैरानॉयड में कार्यान्वयन और अनुकूलन शामिल हैं जो वे क्रिप्टोग्राफी से संबंधित मौजूदा साहित्य से लिए गए थे, जिसका अर्थ है कि इन कलाकृतियों की पीढ़ी कुछ मामलों में त्रुटिपूर्ण थी।
सीटी (सर्टिफिकेट ट्रांसपेरेंसी) सार्वजनिक रजिस्ट्री की सामग्री की जाँच करते समय, जिसमें प्रस्तावित पुस्तकालय का उपयोग करते हुए 7 बिलियन से अधिक प्रमाणपत्रों की जानकारी शामिल है, अण्डाकार वक्रों (ईसी) पर आधारित समस्याग्रस्त सार्वजनिक कुंजियाँ और एल्गोरिथम पर आधारित डिजिटल हस्ताक्षर नहीं मिले। ECDSA, लेकिन समस्याग्रस्त सार्वजनिक कुंजियाँ RSA एल्गोरिथम के अनुसार पाई गईं।
आरओसीए भेद्यता के प्रकटीकरण के बाद, हमने सोचा कि ब्लैक बॉक्स द्वारा उत्पन्न क्रिप्टोग्राफिक कलाकृतियों में अन्य कमजोरियां क्या मौजूद हो सकती हैं और हम उनका पता लगाने और उन्हें कम करने के लिए क्या कर सकते हैं। फिर हमने 2019 में इस परियोजना पर काम करना शुरू किया और बड़ी संख्या में क्रिप्टोग्राफिक कलाकृतियों के खिलाफ जाँच करने के लिए एक पुस्तकालय का निर्माण किया।
पुस्तकालय में साहित्य में पाए जाने वाले मौजूदा कार्यों के कार्यान्वयन और अनुकूलन शामिल हैं। साहित्य से पता चलता है कि कुछ मामलों में कलाकृतियों का निर्माण त्रुटिपूर्ण है; नीचे उन प्रकाशनों के उदाहरण दिए गए हैं जिन पर पुस्तकालय आधारित है।
विशेष रूप से 3586 अविश्वसनीय चाबियों की पहचान की गई डेबियन के लिए ओपनएसएसएल पैकेज में अनपेक्षित CVE-2008-0166 भेद्यता के साथ कोड द्वारा उत्पन्न, Infineon पुस्तकालय में CVE-2533-2017 भेद्यता से जुड़ी 15361 कुंजियाँ, और सबसे बड़ी सामान्य भाजक ( DCM) खोजने से जुड़ी भेद्यता के साथ 1860 कुंजियाँ )
ध्यान दें कि परियोजना का उद्देश्य कम्प्यूटेशनल संसाधनों के उपयोग पर प्रकाश डालना है। बड़ी संख्या में कलाकृतियों पर चलने के लिए चेक पर्याप्त तेज़ होना चाहिए और वास्तविक दुनिया के उत्पादन संदर्भ में समझ में आना चाहिए। कम प्रतिबंधों वाली परियोजनाएं, जैसे कि RsaCtfTool , विभिन्न उपयोग के मामलों के लिए अधिक उपयुक्त हो सकती हैं।
अंत में, यह उल्लेख किया गया है कि उपयोग में बने रहने वाले समस्याग्रस्त प्रमाणपत्रों की जानकारी प्रमाणन केंद्रों को उनके निरसन के लिए भेजी गई थी।
के लिए परियोजना के बारे में अधिक जानने में रुचि, उन्हें पता होना चाहिए कि कोड पायथन में लिखा गया है और अपाचे 2.0 लाइसेंस के तहत जारी किया गया है। आप विवरण, साथ ही स्रोत कोड से परामर्श कर सकते हैं निम्नलिखित लिंक में