Paranoid proyek kanggo ndeteksi kelemahan ing artefak kriptografi
ing anggota tim keamanan Google, dirilis liwat kirim blog wis nggawe keputusan kanggo ngeculake kode sumber perpustakaan "Paranoid", dirancang kanggo ndeteksi kekirangan sing dikenal ing akeh artefak kriptografi sing ora bisa dipercaya, kayata kunci umum lan tanda tangan digital sing digawe ing sistem hardware lan software (HSM) sing rentan.
Proyek kasebut bisa migunani kanggo evaluasi ora langsung babagan panggunaan algoritma lan perpustakaan sing wis dikenal kesenjangan lan vulnerabilities sing mengaruhi linuwih saka tombol lan teken digital kui, apa artefak sing diverifikasi kui dening hardware sing ora bisa diakses kanggo verifikasi utawa komponen ditutup sing kothak ireng.
Kajaba iku, Google uga nyebutake manawa kothak ireng bisa ngasilake artefak yen, ing siji skenario, ora digawe dening salah sawijining alat Google dhewe kaya Tink. Iki uga bakal kelakon yen digawe dening perpustakaan sing Google bisa mriksa lan nyoba nggunakake Wycheproof.
Tujuan mbukak perpustakaan yaiku kanggo nambah transparansi, ngidini ekosistem liyane nggunakake (kayata Certificate Authority, CA sing kudu nindakake pemeriksaan sing padha kanggo netepi kepatuhan), lan nampa sumbangan saka peneliti njaba. Kanthi mengkono, kita njaluk sumbangan, kanthi pangarep-arep yen sawise peneliti nemokake lan nglaporake kerentanan kriptografi, pamriksa bakal ditambahake menyang perpustakaan. Kanthi cara iki, Google lan jagad liyane bisa nanggapi ancaman anyar kanthi cepet.
Pustaka uga bisa parse set nomer pseudorandom kanggo nemtokake linuwih generator lan, nggunakake koleksi akeh artefak, ngenali masalah sadurunge dingerteni sing njedhul amarga kesalahan program utawa nggunakake generator nomer pseudo-acak ora dipercaya.
Saliyane, uga kasebut Paranoid fitur implementasine lan optimizations sing digambar saka literatur sing ana hubungane karo kriptografi, sing nuduhake yen generasi artefak kasebut cacat ing sawetara kasus.
Nalika mriksa isi registri umum CT (Transparansi Sertifikat), sing kalebu informasi babagan luwih saka 7 milyar sertifikat, nggunakake perpustakaan sing diusulake, kunci umum masalah adhedhasar kurva eliptik (EC) lan tandha digital adhedhasar algoritma ora ditemokake. ECDSA, nanging kunci umum sing bermasalah ditemokake miturut algoritma RSA.
Sawise pambocoran kerentanan ROCA, kita kepingin weruh apa kelemahane liyane sing bisa ana ing artefak kriptografi sing digawe dening kothak ireng lan apa sing bisa ditindakake kanggo ndeteksi lan nyuda. Kita banjur miwiti nggarap proyek iki ing taun 2019 lan mbangun perpustakaan kanggo mriksa akeh artefak kriptografi.
Pustaka kasebut ngemot implementasi lan optimalisasi karya sing ana ing literatur. Literatur nuduhake yen generasi artefak cacat ing sawetara kasus; Ing ngisor iki conto publikasi sing adhedhasar perpustakaan.
Utamane 3586 kunci sing ora dipercaya diidentifikasi digawe dening kode kanthi kerentanan CVE-2008-0166 sing ora ditambal ing paket OpenSSL kanggo Debian, tombol 2533 sing ana gandhengane karo kerentanan CVE-2017-15361 ing perpustakaan Infineon, lan tombol 1860 kanthi kerentanan sing ana gandhengane karo nemokake pembagi umum paling gedhe (DCM). ).
Elinga yen proyek iki dimaksudake kanggo nggunakake sumber daya komputasi. Pemeriksaan kasebut kudu cukup cepet kanggo mbukak artefak sing akeh lan kudu ana ing konteks produksi nyata. Proyek kanthi watesan sing luwih sithik, kayata RsaCtfTool, bisa uga luwih cocog kanggo macem-macem kasus panggunaan.
Pungkasan, disebutake manawa informasi babagan sertifikat masalah sing isih digunakake dikirim menyang pusat sertifikasi kanggo mbatalake.
Kanggo kasengsem ing ngerti liyane babagan project, padha kudu ngerti sing kode ditulis ing Python lan dirilis ing lisensi Apache 2.0. Sampeyan bisa takon rincian, uga kode sumber Ing link ing ngisor iki.
Dadi pisanan komentar