Параноидтық жоба криптографиялық артефактілердің әлсіз жақтарын анықтау
The Google қауіпсіздік тобының мүшелері шығарылды блог жазбасы арқылы «Параноид» кітапханасының бастапқы кодын шығару туралы шешім қабылдады, осал аппараттық және бағдарламалық жүйелерде (HSM) жасалған ашық кілттер мен сандық қолтаңбалар сияқты сенімсіз криптографиялық артефакттардың көп санындағы белгілі әлсіз жақтарды анықтауға арналған.
Жоба алгоритмдер мен кітапханаларды пайдалануды жанама бағалау үшін пайдалы болуы мүмкін генерацияланған кілттер мен цифрлық қолтаңбалардың сенімділігіне әсер ететін белгілі олқылықтар мен осалдықтары бар, тексерілетін артефактілер тексеру үшін қолжетімсіз аппараттық құрал немесе қара жәшік болып табылатын жабық құрамдас бөліктер арқылы жасалған ба.
Бұған қоса, Google қара жәшік, егер бір сценарийде оны Google-дың Tink сияқты құралдарының бірі жасамаған болса, артефакт жасай алатынын айтады. Бұл Google Wycheproof арқылы тексеріп, сынай алатын кітапхана жасаған болса да орын алады.
Кітапхананы ашудың мақсаты – ашықтықты арттыру, басқа экожүйелерге оны пайдалануға мүмкіндік беру (мысалы, сертификаттау органдары, сәйкестікті қанағаттандыру үшін ұқсас тексерулерді орындауы қажет CA) және сыртқы зерттеушілерден үлестер алу. Осылайша, зерттеушілер криптографиялық осалдықтарды тауып, хабарлаған соң, тексерулер кітапханаға қосылады деген үмітпен үлес қосуға шақырамыз. Осылайша, Google және бүкіл әлем жаңа қауіптерге тез жауап бере алады.
Кітапхана жалған кездейсоқ сандар жиынын да талдай алады генераторыңыздың сенімділігін анықтау және артефактілердің үлкен жинағын пайдалана отырып, бағдарламалау қателеріне немесе сенімсіз псевдокездейсоқ сандар генераторларын пайдаланудан туындаған бұрын белгісіз мәселелерді анықтаңыз.
Екінші жағынан, бұл туралы да айтылады Параноидтық мүмкіндіктерді іске асыру және оңтайландыру олар криптографияға қатысты бар әдебиеттерден алынды, бұл бұл артефактілердің генерациясының кейбір жағдайларда қате болғанын білдіреді.
Ұсынылған кітапхананы пайдалана отырып, 7 миллиардтан астам сертификаттар туралы ақпаратты қамтитын КТ (Сертификаттардың ашықтығы) мемлекеттік тізілімінің мазмұнын тексеру кезінде эллиптикалық қисық сызықтарға (EC) негізделген проблемалық ашық кілттер және алгоритм негізіндегі ЭЦҚ табылмады. ECDSA, бірақ RSA алгоритміне сәйкес проблемалық ашық кілттер табылды.
ROCA осалдығы ашылғаннан кейін біз қара жәшіктер жасаған криптографиялық артефактілерде тағы қандай әлсіздіктер болуы мүмкін екенін және оларды анықтау және азайту үшін не істей алатынымызды білдік. Содан кейін біз бұл жобамен 2019 жылы жұмыс істей бастадық және көптеген криптографиялық артефактілерді тексеру үшін кітапхана салдық.
Кітапханада әдебиеттерде бар жұмыстарды іске асыру және оңтайландырулар бар. Әдебиеттер артефакті генерациялаудың кейбір жағдайларда ақаулы екенін көрсетеді; Төменде кітапхана негізіндегі басылымдардың мысалдары келтірілген.
Атап айтқанда 3586 сенімсіз кілт анықталды Debian үшін OpenSSL бумасындағы патчланбаған CVE-2008-0166 осалдығы бар кодпен, Infineon кітапханасындағы CVE-2533-2017 осалдығына байланысты 15361 кілт және 1860 кілтпен жасалған (ең көп таралған DCM бөлгішін табумен байланысты) осалдық ).
Жоба есептеу ресурстарын пайдалануда жеңіл болуға арналғанын ескеріңіз. Тексерулер артефактілердің көп санында жұмыс істеу үшін жеткілікті жылдам болуы керек және нақты әлемдегі өндіріс контекстінде мағынасы болуы керек. RsaCtfTool сияқты шектеулері аз жобалар әртүрлі пайдалану жағдайлары үшін қолайлырақ болуы мүмкін.
Соңында, пайдалануда қалған проблемалық сертификаттар туралы ақпарат оларды қайтарып алу үшін сертификаттау орталықтарына жіберілгені айтылады.
Үшін жоба туралы көбірек білуге мүдделі, олар кодтың Python тілінде жазылғанын және Apache 2.0 лицензиясы бойынша шығарылғанын білуі керек. Мәліметтерді, сондай-ақ бастапқы кодты қарауға болады Келесі сілтемеде.
Бірінші болып пікір айтыңыз