פרויקט פרנואידי לאיתור חולשות בחפצים קריפטוגרפיים
ل חברי צוות האבטחה של Google, שוחררו דרך פוסט בבלוג קיבלו את ההחלטה לשחרר את קוד המקור של ספריית "פרנואיד", נועד לזהות חולשות ידועות במספר גדול של חפצים קריפטוגרפיים לא אמינים, כגון מפתחות ציבוריים וחתימות דיגיטליות שנוצרו במערכות חומרה ותוכנה פגיעות (HSM).
proyecto אל יכול להיות שימושי עבור הערכה עקיפה של השימוש באלגוריתמים וספריות שיש להם פערים ופגיעות ידועים המשפיעים על מהימנות המפתחות והחתימות הדיגיטליות שנוצרו, בין אם החפצים המאומתים נוצרים על ידי חומרה שאינה נגישה לאימות או רכיבים סגורים שהם קופסה שחורה.
בנוסף לכך, גוגל גם מזכירה שקופסה שחורה יכולה ליצור חפץ אם, בתרחיש אחד, היא לא נוצרה על ידי אחד מהכלים של גוגל עצמה כמו Tink. זה היה קורה גם אם זה היה נוצר על ידי ספרייה שגוגל יכולה לבדוק ולבדוק באמצעות Wycheproof.
המטרה של פתיחת הספרייה היא להגביר את השקיפות, לאפשר למערכות אקולוגיות אחרות להשתמש בה (כגון רשויות אישורים, CA שצריכים לבצע בדיקות דומות כדי לעמוד בציות), ולקבל תרומות מחוקרים חיצוניים. בכך אנו קוראים לתרומות, בתקווה שאחרי שהחוקרים ימצאו וידווחו על פרצות קריפטוגרפיות, הצ'קים יתווספו לספרייה. כך, גוגל ושאר העולם יכולים להגיב במהירות לאיומים חדשים.
סִפְרִיָה יכול גם לנתח קבוצות של מספרים פסאודו אקראיים כדי לקבוע את המהימנות של הגנרטור שלך, ובאמצעות אוסף גדול של חפצים, לזהות בעיות שלא ידועות קודם לכן המתעוררות עקב שגיאות תכנות או שימוש במחוללי מספרים פסאודו-אקראיים לא אמינים.
מצד שני, מוזכר גם ש Paranoid תכונות הטמעות ואופטימיזציות כי הם שאבו מהספרות הקיימת הקשורה לקריפטוגרפיה, מה שמרמז כי היצירה של חפצים אלה הייתה פגומה במקרים מסוימים.
בעת בדיקת תוכן הרישום הציבורי CT (שקיפות תעודות), הכולל מידע על יותר מ-7 מיליארד תעודות, באמצעות הספרייה המוצעת, לא נמצאו מפתחות ציבוריים בעייתיים המבוססים על עקומות אליפטיות (EC) וחתימות דיגיטליות המבוססות על האלגוריתם. ECDSA, אך נמצאו מפתחות ציבוריים בעייתיים לפי אלגוריתם RSA.
לאחר חשיפת הפגיעות של ROCA, תהינו אילו חולשות נוספות עשויות להתקיים בחפצי ההצפנה שנוצרו על ידי קופסאות שחורות ומה נוכל לעשות כדי לזהות ולהפחית אותן. לאחר מכן התחלנו לעבוד על הפרויקט הזה ב-2019 ובנינו ספרייה לביצוע בדיקות כנגד מספר רב של חפצים קריפטוגרפיים.
הספרייה מכילה הטמעות ואופטימיזציות של יצירות קיימות שנמצאות בספרות. הספרות מראה שיצירת חפצים פגומה במקרים מסוימים; להלן דוגמאות לפרסומים שהספרייה מבוססת עליהם.
בפרט זוהו 3586 מפתחות לא מהימנים נוצר על ידי קוד עם הפגיעות הלא מתוקנת CVE-2008-0166 בחבילת OpenSSL עבור Debian, 2533 מפתחות הקשורים לפגיעות CVE-2017-15361 בספריית Infineon ו-1860 מפתחות עם הפגיעות הקשורה למציאת המחלק המשותף הגדול ביותר (DCM ).
שים לב שהפרויקט נועד להקל על השימוש במשאבי חישוב. הבדיקות חייבות להיות מהירות מספיק כדי לרוץ על מספר רב של חפצים וחייבות להיות הגיוניות בהקשר של הייצור בעולם האמיתי. פרויקטים עם פחות הגבלות, כגון RsaCtfTool , עשויים להתאים יותר למקרי שימוש שונים.
לבסוף מוזכר כי מידע על התעודות הבעייתיות שנותרו בשימוש נשלח למרכזי ההסמכה לצורך ביטולן.
עבור מעוניין לדעת יותר על הפרויקט, עליהם לדעת שהקוד כתוב ב-Python ומשוחרר תחת רישיון Apache 2.0. אתה יכול לעיין בפרטים, כמו גם בקוד המקור בקישור הבא.