Paranoid sebuah proyek untuk mendeteksi kelemahan dalam artefak kriptografi
Los anggota tim keamanan Google, dibebaskan melalui posting blog telah membuat keputusan untuk merilis kode sumber perpustakaan "Paranoid", dirancang untuk mendeteksi kelemahan yang diketahui dalam sejumlah besar artefak kriptografi yang tidak dapat diandalkan, seperti kunci publik dan tanda tangan digital yang dibuat dalam sistem perangkat keras dan perangkat lunak yang rentan (HSM).
Proyek dapat berguna untuk evaluasi tidak langsung dari penggunaan algoritma dan perpustakaan yang memiliki celah dan kerentanan yang diketahui yang memengaruhi keandalan kunci dan tanda tangan digital yang dihasilkan, apakah artefak yang diverifikasi dihasilkan oleh perangkat keras yang tidak dapat diakses untuk verifikasi atau komponen tertutup yang berupa kotak hitam.
Selain itu, Google juga menyebutkan bahwa kotak hitam dapat menghasilkan artefak jika, dalam satu skenario, tidak dihasilkan oleh salah satu alat Google sendiri seperti Tink. Ini juga akan terjadi jika dibuat oleh perpustakaan yang dapat diperiksa dan diuji oleh Google menggunakan Wycheproof.
Tujuan membuka perpustakaan adalah untuk meningkatkan transparansi, memungkinkan ekosistem lain untuk menggunakannya (seperti Otoritas Sertifikat, CA yang perlu melakukan pemeriksaan serupa untuk memenuhi kepatuhan), dan menerima kontribusi dari peneliti luar. Dalam melakukannya, kami meminta kontribusi, dengan harapan bahwa setelah peneliti menemukan dan melaporkan kerentanan kriptografi, pemeriksaan akan ditambahkan ke perpustakaan. Dengan cara ini, Google dan seluruh dunia dapat merespons ancaman baru dengan cepat.
Perpustakaan juga dapat mengurai set angka pseudorandom untuk menentukan keandalan generator Anda dan, dengan menggunakan banyak koleksi artefak, mengidentifikasi masalah yang sebelumnya tidak diketahui yang muncul karena kesalahan pemrograman atau penggunaan generator nomor pseudo-acak yang tidak dapat diandalkan.
Di sisi lain, disebutkan juga bahwa Paranoid menampilkan implementasi dan pengoptimalan yang mereka diambil dari literatur yang ada terkait dengan kriptografi, menyiratkan bahwa generasi artefak ini cacat dalam beberapa kasus.
Saat memeriksa konten registri publik CT (Transparansi Sertifikat), yang mencakup informasi tentang lebih dari 7 miliar sertifikat, menggunakan perpustakaan yang diusulkan, kunci publik bermasalah berdasarkan kurva eliptik (EC) dan tanda tangan digital berdasarkan algoritma tidak ditemukan. ECDSA, tetapi kunci publik yang bermasalah ditemukan menurut algoritma RSA.
Setelah pengungkapan kerentanan ROCA, kami bertanya-tanya kelemahan lain apa yang mungkin ada dalam artefak kriptografi yang dihasilkan oleh kotak hitam dan apa yang dapat kami lakukan untuk mendeteksi dan menguranginya. Kami kemudian mulai mengerjakan proyek ini pada tahun 2019 dan membangun perpustakaan untuk melakukan pemeriksaan terhadap sejumlah besar artefak kriptografi.
Pustaka berisi implementasi dan optimalisasi karya-karya yang ada yang ditemukan dalam literatur. Literatur menunjukkan bahwa generasi artefak cacat dalam beberapa kasus; Di bawah ini adalah contoh publikasi yang menjadi dasar perpustakaan.
Khususnya 3586 kunci tidak tepercaya diidentifikasi dihasilkan oleh kode dengan kerentanan CVE-2008-0166 yang belum ditambal dalam paket OpenSSL untuk Debian, 2533 kunci yang terkait dengan kerentanan CVE-2017-15361 di perpustakaan Infineon, dan 1860 kunci dengan kerentanan yang terkait dengan menemukan pembagi umum terbesar ( DCM ).
Perhatikan bahwa proyek ini dimaksudkan untuk menjadi ringan pada penggunaan sumber daya komputasi. Pemeriksaan harus cukup cepat untuk dijalankan pada sejumlah besar artefak dan harus masuk akal dalam konteks produksi dunia nyata. Proyek dengan batasan yang lebih sedikit, seperti RsaCtfTool , mungkin lebih sesuai untuk kasus penggunaan yang berbeda.
Terakhir, disebutkan bahwa informasi tentang sertifikat bermasalah yang masih digunakan dikirim ke pusat sertifikasi untuk dicabut.
untuk tertarik untuk mengetahui lebih banyak tentang proyek ini, mereka harus tahu bahwa kode tersebut ditulis dengan Python dan dirilis di bawah lisensi Apache 2.0. Anda dapat berkonsultasi dengan detailnya, serta kode sumbernya Di tautan berikut.