암호화 아티팩트의 약점을 탐지하는 편집증 프로젝트
롯 Google 보안 팀 구성원, 출시 블로그 포스팅을 통해 "Paranoid" 라이브러리의 소스 코드를 공개하기로 결정했으며, 취약한 하드웨어 및 소프트웨어 시스템(HSM)에서 생성된 공개 키 및 디지털 서명과 같은 신뢰할 수 없는 다수의 암호화 아티팩트에서 알려진 약점을 탐지하도록 설계되었습니다.
프로젝트 알고리즘 및 라이브러리 사용에 대한 간접적인 평가에 유용할 수 있습니다. 검증되는 아티팩트가 검증을 위해 액세스할 수 없는 하드웨어에 의해 생성되었는지 또는 블랙박스인 폐쇄된 구성요소에 의해 생성되었는지 여부와 상관없이 생성된 키 및 디지털 서명의 신뢰성에 영향을 미치는 알려진 간격 및 취약성이 있는 것.
그 외에도 Google은 한 시나리오에서 Tink와 같은 Google 자체 도구 중 하나로 생성되지 않은 블랙박스가 아티팩트를 생성할 수 있다고 언급했습니다. 이는 Google이 Wycheproof를 사용하여 검사하고 테스트할 수 있는 라이브러리에서 생성된 경우에도 발생합니다.
라이브러리를 여는 목표는 투명성을 높이고 다른 생태계(예: 규정 준수를 충족하기 위해 유사한 검사를 수행해야 하는 인증 기관, CA)에서 라이브러리를 사용하도록 허용하고 외부 연구원의 기여를 받는 것입니다. 그렇게 함으로써 연구원들이 암호화 취약점을 찾아 보고한 후 라이브러리에 검사가 추가되기를 바라며 기여를 요청합니다. 이렇게 하면 Google과 전 세계가 새로운 위협에 신속하게 대응할 수 있습니다.
도서관 의사 난수 집합을 구문 분석할 수도 있습니다. 생성기의 신뢰성을 결정하고 많은 인공물 모음을 사용하여 프로그래밍 오류 또는 신뢰할 수 없는 의사 난수 생성기의 사용으로 인해 발생하는 이전에 알려지지 않은 문제를 식별합니다.
반면에 편집증 기능 구현 및 최적화 그것들은 암호화와 관련된 기존 문헌에서 가져온 것으로, 이러한 인공물의 생성에 일부 경우에 결함이 있음을 암시합니다.
제안된 라이브러리를 이용하여 7억 개 이상의 인증서 정보가 포함된 CT(Certificate Transparency) 공개 레지스트리의 내용을 확인한 결과, 문제가 있는 EC(Elliptic Curve) 기반 공개키와 알고리즘 기반 전자서명은 발견되지 않았다. ECDSA를 사용했지만 RSA 알고리즘에 따라 문제가 있는 공개 키가 발견되었습니다.
ROCA 취약점이 공개된 후 우리는 블랙박스에 의해 생성된 암호화 아티팩트에 어떤 다른 취약점이 있을 수 있으며 이를 탐지하고 완화하기 위해 무엇을 할 수 있는지 궁금했습니다. 그런 다음 2019년에 이 프로젝트 작업을 시작하고 수많은 암호화 아티팩트에 대해 검사를 수행하는 라이브러리를 구축했습니다.
라이브러리에는 문헌에서 찾은 기존 작업의 구현 및 최적화가 포함되어 있습니다. 문헌은 일부 경우에 인공물 생성에 결함이 있음을 보여줍니다. 다음은 도서관이 기반으로 하는 출판물의 예입니다.
특히 3586개의 신뢰할 수 없는 키가 식별되었습니다. Debian용 OpenSSL 패키지의 패치되지 않은 CVE-2008-0166 취약점이 있는 코드, Infineon 라이브러리의 CVE-2533-2017 취약점과 관련된 15361개의 키, 최대 공약수 찾기와 관련된 취약점이 있는 1860개의 키(DCM ).
이 프로젝트는 계산 자원의 사용에 대해 설명하기 위한 것입니다. 검사는 많은 수의 아티팩트에서 실행할 수 있을 만큼 충분히 빨라야 하고 실제 프로덕션 컨텍스트에서 의미가 있어야 합니다. RsaCtfTool 과 같이 제한 사항이 적은 프로젝트는 다양한 사용 사례에 더 적합할 수 있습니다.
마지막으로 사용 중이던 문제가 되는 인증서에 대한 정보를 인증센터로 보내 해지를 했다고 한다.
에 프로젝트에 대해 더 알고 싶어함, 그들은 코드가 Python으로 작성되었으며 Apache 2.0 라이센스에 따라 릴리스되었음을 알아야 합니다. 자세한 내용과 소스 코드를 참조할 수 있습니다. 다음 링크에서.