Paranoid un progetto per rilevare i punti deboli negli artefatti crittografici
I membri del team di sicurezza di Google, rilasciato attraverso un post sul blog hanno deciso di rilasciare il codice sorgente della libreria “Paranoid”, progettato per rilevare punti deboli noti in un gran numero di artefatti crittografici inaffidabili, come chiavi pubbliche e firme digitali create in sistemi hardware e software vulnerabili (HSM).
El proyecto può essere utile per la valutazione indiretta dell'uso di algoritmi e librerie che presentano lacune e vulnerabilità note che influiscono sull'affidabilità delle chiavi e delle firme digitali generate, indipendentemente dal fatto che gli artefatti verificati siano generati da hardware inaccessibile per la verifica o da componenti chiusi che sono una scatola nera.
Oltre a ciò, Google menziona anche che una scatola nera può generare un artefatto se, in uno scenario, non è stata generata da uno degli strumenti di Google come Tink. Ciò accadrebbe anche se fosse generato da una libreria che Google può ispezionare e testare utilizzando Wycheproof.
L'obiettivo dell'apertura della biblioteca è aumentare la trasparenza, consentire ad altri ecosistemi di utilizzarla (come autorità di certificazione, CA che devono eseguire controlli simili per soddisfare la conformità) e ricevere contributi da ricercatori esterni. In tal modo, chiediamo contributi, nella speranza che dopo che i ricercatori avranno individuato e segnalato vulnerabilità crittografiche, i controlli vengano aggiunti alla biblioteca. In questo modo, Google e il resto del mondo possono rispondere rapidamente alle nuove minacce.
La biblioteca può anche analizzare insiemi di numeri pseudocasuali per determinare l'affidabilità del tuo generatore e, utilizzando un'ampia raccolta di artefatti, identificare problemi precedentemente sconosciuti che sorgono a causa di errori di programmazione o dell'uso di generatori di numeri pseudo-casuali inaffidabili.
D'altra parte, si dice anche che Paranoid presenta implementazioni e ottimizzazioni che sono stati tratti dalla letteratura esistente relativa alla crittografia, il che implica che la generazione di questi manufatti in alcuni casi era difettosa.
Durante il controllo dei contenuti del registro pubblico CT (Certificate Transparency), che include informazioni su oltre 7 miliardi di certificati, utilizzando la libreria proposta, non sono state trovate chiavi pubbliche problematiche basate su curve ellittiche (EC) e firme digitali basate sull'algoritmo. ECDSA, ma sono state trovate chiavi pubbliche problematiche secondo l'algoritmo RSA.
Dopo la divulgazione della vulnerabilità ROCA, ci siamo chiesti quali altri punti deboli potrebbero esistere negli artefatti crittografici generati dalle scatole nere e cosa potremmo fare per rilevarli e mitigarli. Abbiamo quindi iniziato a lavorare a questo progetto nel 2019 e abbiamo creato una libreria per eseguire controlli su un gran numero di artefatti crittografici.
La libreria contiene implementazioni e ottimizzazioni di opere esistenti presenti in letteratura. La letteratura mostra che la generazione di artefatti è in alcuni casi imperfetta; Di seguito sono riportati esempi di pubblicazioni su cui si basa la biblioteca.
In particolare, Sono state identificate 3586 chiavi non attendibili generato dal codice con la vulnerabilità CVE-2008-0166 senza patch nel pacchetto OpenSSL per Debian, 2533 chiavi associate alla vulnerabilità CVE-2017-15361 nella libreria Infineon e 1860 chiavi con la vulnerabilità associata alla ricerca del massimo comun divisore (DCM ).
Si noti che il progetto intende essere leggero sull'uso delle risorse computazionali. I controlli devono essere sufficientemente veloci per essere eseguiti su un gran numero di artefatti e devono avere un senso nel contesto di produzione del mondo reale. Progetti con meno restrizioni, come RsaCtfTool , possono essere più appropriati per diversi casi d'uso.
Si ricorda infine che le informazioni sui certificati problematici rimasti in uso sono state inviate ai centri di certificazione per la loro revoca.
Per interessati a saperne di più sul progetto, dovrebbero sapere che il codice è scritto in Python ed è rilasciato con la licenza Apache 2.0. Puoi consultare i dettagli, così come il codice sorgente nel seguente link