Paranoisks projekts, lai atklātu kriptogrāfijas artefaktu nepilnības
L Google drošības komandas locekļi, atbrīvoti izmantojot emuāra ziņu ir pieņēmuši lēmumu atbrīvot “Paranoid” bibliotēkas pirmkodu, izstrādāts, lai atklātu zināmās nepilnības lielā skaitā neuzticamu kriptogrāfijas artefaktu, piemēram, publiskās atslēgas un ciparparakstus, kas izveidoti neaizsargātās aparatūras un programmatūras sistēmās (HSM).
Projekts var būt noderīga algoritmu un bibliotēku izmantošanas netiešai novērtēšanai kurām ir zināmas nepilnības un ievainojamības, kas ietekmē ģenerēto atslēgu un ciparparakstu uzticamību neatkarīgi no tā, vai verificējamos artefaktus ir ģenerējusi aparatūra, kas nav pieejama pārbaudei, vai slēgti komponenti, kas ir melnā kaste.
Papildus tam Google arī piemin, ka melnā kaste var radīt artefaktu, ja vienā scenārijā tas nav ģenerēts ar kādu no Google rīkiem, piemēram, Tink. Tas notiktu arī tad, ja to ģenerētu bibliotēka, kuru Google var pārbaudīt un pārbaudīt, izmantojot Wycheproof.
Bibliotēkas atvēršanas mērķis ir palielināt pārredzamību, ļaut citām ekosistēmām to izmantot (piemēram, sertifikācijas iestādēm, CA, kurām jāveic līdzīgas pārbaudes, lai nodrošinātu atbilstību), un saņemt ieguldījumu no ārējiem pētniekiem. To darot, mēs aicinām sniegt ieguldījumu, cerot, ka pēc tam, kad pētnieki atradīs un ziņos par kriptogrāfiskām ievainojamībām, čeki tiks pievienoti bibliotēkai. Tādā veidā Google un pārējā pasaule var ātri reaģēt uz jauniem draudiem.
Bibliotēka var arī parsēt pseidogadījuma skaitļu kopas lai noteiktu sava ģeneratora uzticamību un, izmantojot lielu artefaktu kolekciju, identificētu iepriekš nezināmas problēmas, kas rodas programmēšanas kļūdu vai neuzticamu pseidogadījuma skaitļu ģeneratoru izmantošanas dēļ.
No otras puses, tas ir arī minēts Paranoid funkciju ieviešanas un optimizācijas, kas tie tika iegūti no esošās literatūras, kas saistīta ar kriptogrāfiju, kas nozīmē, ka dažos gadījumos šo artefaktu ģenerēšana bija kļūdaina.
Pārbaudot CT (Certificate Transparency) publiskā reģistra saturu, kurā iekļauta informācija par vairāk nekā 7 miljardiem sertifikātu, izmantojot piedāvāto bibliotēku, problemātiskas publiskās atslēgas, kuru pamatā ir eliptiskās līknes (EC) un digitālie paraksti, kuru pamatā ir algoritms, netika atrastas. ECDSA, bet problemātiskas publiskās atslēgas tika atrastas pēc RSA algoritma.
Pēc ROCA ievainojamības atklāšanas mēs domājām, kādas citas nepilnības varētu būt melno kastu radītajos kriptogrāfiskajos artefaktos un ko mēs varētu darīt, lai tās atklātu un mazinātu. Pēc tam mēs sākām strādāt pie šī projekta 2019. gadā un izveidojām bibliotēku, lai pārbaudītu, vai nav daudz kriptogrāfisku artefaktu.
Bibliotēka satur literatūrā atrodamo esošo darbu realizācijas un optimizācijas. Literatūra liecina, ka artefaktu ģenerēšana dažos gadījumos ir kļūdaina; Tālāk ir sniegti to publikāciju piemēri, uz kurām bibliotēka ir balstīta.
Jo īpaši Tika identificētas 3586 neuzticamas atslēgas ģenerēts kods ar neaizlāpītu CVE-2008-0166 ievainojamību OpenSSL pakotnē Debian, 2533 atslēgas, kas saistītas ar CVE-2017-15361 ievainojamību Infineon bibliotēkā, un 1860 atslēgas ar ievainojamību, kas saistīta ar lielākā kopējā dalītāja (DCM) atrašanu. ).
Ņemiet vērā, ka projekts ir paredzēts skaitļošanas resursu izmantošanas vieglumam. Pārbaudēm ir jābūt pietiekami ātrām, lai tās varētu veikt ar lielu skaitu artefaktu, un tām ir jābūt jēgpilnām reālajā ražošanas kontekstā. Projekti ar mazākiem ierobežojumiem, piemēram, RsaCtfTool , var būt piemērotāki dažādiem lietošanas gadījumiem.
Visbeidzot tiek minēts, ka informācija par problemātiskajiem sertifikātiem, kas palika lietošanā, tika nosūtīta sertifikācijas centriem to atsaukšanai.
Par vēlas uzzināt vairāk par projektu, viņiem jāzina, ka kods ir rakstīts Python un ir izlaists saskaņā ar Apache 2.0 licenci. Varat skatīt detalizētu informāciju, kā arī avota kodu Šajā saitē.