Paranoidni projekt za otkrivanje slabosti u kriptografskim artefaktima
The članovi Google sigurnosnog tima, pušteni putem posta na blogu donijeli su odluku o objavljivanju izvornog koda biblioteke “Paranoid”, dizajniran za otkrivanje poznatih slabosti u velikom broju nepouzdanih kriptografskih artefakata, kao što su javni ključevi i digitalni potpisi stvoreni u ranjivim hardverskim i softverskim sustavima (HSM).
Projekt mogu biti korisni za neizravnu evaluaciju upotrebe algoritama i biblioteka koji imaju poznate nedostatke i ranjivosti koje utječu na pouzdanost generiranih ključeva i digitalnih potpisa, bilo da su artefakti koji se provjeravaju generirani hardverom koji je nedostupan za provjeru ili zatvorenim komponentama koje su crna kutija.
Uz to, Google također spominje da crna kutija može generirati artefakt ako ga, u jednom scenariju, nije generirao jedan od Googleovih alata poput Tinka. To bi se također dogodilo da ga generira biblioteka koju Google može pregledati i testirati koristeći Wycheproof.
Cilj otvaranja knjižnice je povećati transparentnost, dopustiti drugim ekosustavima da je koriste (kao što su tijela za izdavanje certifikata, CA-ovi koji trebaju obavljati slične provjere kako bi zadovoljili usklađenost) i primati doprinose vanjskih istraživača. Čineći to, pozivamo na doprinose, u nadi da će nakon što istraživači pronađu i prijave kriptografske ranjivosti, provjere biti dodane u knjižnicu. Na taj način Google i ostatak svijeta mogu brzo odgovoriti na nove prijetnje.
Knjižnica također može analizirati skupove pseudoslučajnih brojeva kako biste utvrdili pouzdanost vašeg generatora i, koristeći veliku zbirku artefakata, identificirali prethodno nepoznate probleme koji nastaju zbog programskih pogrešaka ili upotrebe nepouzdanih generatora pseudoslučajnih brojeva.
S druge strane, također se spominje da Paranoid ima implementacije i optimizacije koje izvučeni su iz postojeće literature vezane uz kriptografiju, što implicira da je generiranje ovih artefakata u nekim slučajevima bilo pogrešno.
Provjerom sadržaja javnog registra CT (Certificate Transparency) koji uključuje informacije o više od 7 milijardi certifikata, korištenjem predložene biblioteke, nisu pronađeni problematični javni ključevi temeljeni na eliptičnim krivuljama (EC) i digitalni potpisi temeljeni na algoritmu. ECDSA, ali problematični javni ključevi su pronađeni prema RSA algoritmu.
Nakon otkrivanja ROCA ranjivosti, pitali smo se koje bi druge slabosti mogle postojati u kriptografskim artefaktima koje generiraju crne kutije i što možemo učiniti da ih otkrijemo i ublažimo. Potom smo 2019. počeli raditi na ovom projektu i izgradili knjižnicu za provjeru velikog broja kriptografskih artefakata.
Knjižnica sadrži implementacije i optimizacije postojećih radova pronađenih u literaturi. Literatura pokazuje da je stvaranje artefakata u nekim slučajevima pogrešno; Ispod su primjeri publikacija na kojima se knjižnica temelji.
Osobito Identificirano je 3586 nepouzdanih ključeva generiran kodom s nezakrpanom ranjivošću CVE-2008-0166 u paketu OpenSSL za Debian, 2533 ključa povezana s ranjivošću CVE-2017-15361 u biblioteci Infineon i 1860 ključeva s ranjivošću povezanom s pronalaženjem najvećeg zajedničkog djelitelja ( DCM ).
Imajte na umu da je namjera projekta biti lagana u korištenju računalnih resursa. Provjere moraju biti dovoljno brze da se izvode na velikom broju artefakata i moraju imati smisla u kontekstu proizvodnje stvarnog svijeta. Projekti s manje ograničenja, kao što je RsaCtfTool, mogu biti prikladniji za različite slučajeve upotrebe.
Na kraju se navodi da su informacije o problematičnim certifikatima koji su ostali u uporabi poslane certifikacijskim centrima radi njihovog opoziva.
Za zainteresirani za više informacija o projektu, trebali bi znati da je kod napisan u Pythonu i da je objavljen pod licencom Apache 2.0. Možete konzultirati detalje, kao i izvorni kod U sljedećem linku.