क्रिप्टोग्राफिक कलाकृतींमधील कमकुवतपणा शोधण्यासाठी पॅरानोइड प्रकल्प
अगोदर निर्देश केलेल्या बाबीसंबंधी बोलताना Google सुरक्षा टीमचे सदस्य, रिलीझ ब्लॉग पोस्टद्वारे "पॅरानॉइड" लायब्ररीचा स्त्रोत कोड सोडण्याचा निर्णय घेतला आहे, असुरक्षित हार्डवेअर आणि सॉफ्टवेअर सिस्टम्स (HSM) मध्ये तयार केलेल्या सार्वजनिक की आणि डिजिटल स्वाक्षरी यासारख्या मोठ्या संख्येने अविश्वसनीय क्रिप्टोग्राफिक कलाकृतींमध्ये ज्ञात कमकुवतपणा शोधण्यासाठी डिझाइन केलेले.
प्रकल्प अल्गोरिदम आणि लायब्ररीच्या वापराच्या अप्रत्यक्ष मूल्यमापनासाठी उपयुक्त ठरू शकते ज्यांना ज्ञात अंतर आणि भेद्यता आहे ज्यांच्या विश्वासार्हतेवर परिणाम होतो की आणि डिजिटल स्वाक्षरी व्युत्पन्न केल्या जातात, सत्यापित केल्या जात असलेल्या कलाकृती सत्यापनासाठी अगम्य हार्डवेअरद्वारे व्युत्पन्न केल्या जातात किंवा ब्लॅक बॉक्स असलेले बंद घटक.
या व्यतिरिक्त, Google ने असेही नमूद केले आहे की, जर एखाद्या परिस्थितीत, टिंक सारख्या Google च्या स्वतःच्या साधनांपैकी एकाने तो तयार केला नसेल तर ब्लॅक बॉक्स आर्टिफॅक्ट व्युत्पन्न करू शकतो. हे एखाद्या लायब्ररीद्वारे व्युत्पन्न केले असल्यास देखील होईल ज्याची Google Wycheproof वापरून तपासणी आणि चाचणी करू शकते.
लायब्ररी उघडण्याचे उद्दिष्ट म्हणजे पारदर्शकता वाढवणे, इतर इकोसिस्टमना ते वापरण्याची परवानगी देणे (जसे की प्रमाणपत्र प्राधिकरणे, CA ज्यांना अनुपालन पूर्ण करण्यासाठी समान तपासणी करणे आवश्यक आहे), आणि बाहेरील संशोधकांकडून योगदान प्राप्त करणे. असे करताना, संशोधकांनी क्रिप्टोग्राफिक असुरक्षा शोधून अहवाल दिल्यानंतर, चेक लायब्ररीमध्ये जोडले जातील या आशेने आम्ही योगदानासाठी कॉल करत आहोत. अशा प्रकारे, Google आणि उर्वरित जग नवीन धोक्यांना त्वरित प्रतिसाद देऊ शकतात.
ग्रंथालय छद्म यादृच्छिक संख्यांच्या संचाचे विश्लेषण देखील करू शकते तुमच्या जनरेटरची विश्वासार्हता निश्चित करण्यासाठी आणि, कलाकृतींचा मोठा संग्रह वापरून, प्रोग्रामिंग त्रुटींमुळे किंवा अविश्वसनीय छद्म-यादृच्छिक संख्या जनरेटरच्या वापरामुळे उद्भवलेल्या पूर्वीच्या अज्ञात समस्या ओळखा.
दुसरीकडे, असेही नमूद केले आहे Paranoid वैशिष्ट्ये अंमलबजावणी आणि ऑप्टिमायझेशन की ते क्रिप्टोग्राफीशी संबंधित विद्यमान साहित्यातून काढले गेले होते, याचा अर्थ असा होतो की या कलाकृतींची निर्मिती काही प्रकरणांमध्ये सदोष होती.
सीटी (प्रमाणपत्र पारदर्शकता) सार्वजनिक नोंदणीची सामग्री तपासताना, ज्यामध्ये 7 अब्जाहून अधिक प्रमाणपत्रांची माहिती समाविष्ट आहे, प्रस्तावित लायब्ररी वापरून, लंबवर्तुळाकार वक्र (EC) वर आधारित समस्याप्रधान सार्वजनिक की आणि अल्गोरिदमवर आधारित डिजिटल स्वाक्षरी आढळल्या नाहीत. ECDSA, परंतु RSA अल्गोरिदमनुसार समस्याप्रधान सार्वजनिक की आढळल्या.
ROCA असुरक्षिततेच्या प्रकटीकरणानंतर, ब्लॅक बॉक्सेसद्वारे व्युत्पन्न केलेल्या क्रिप्टोग्राफिक कलाकृतींमध्ये इतर कोणत्या कमकुवतता असू शकतात आणि त्या शोधण्यासाठी आणि कमी करण्यासाठी आम्ही काय करू शकतो याबद्दल आम्हाला आश्चर्य वाटले. त्यानंतर आम्ही 2019 मध्ये या प्रकल्पावर काम करण्यास सुरुवात केली आणि मोठ्या संख्येने क्रिप्टोग्राफिक कलाकृतींची तपासणी करण्यासाठी एक लायब्ररी तयार केली.
लायब्ररीमध्ये साहित्यात आढळलेल्या विद्यमान कार्यांची अंमलबजावणी आणि ऑप्टिमायझेशन समाविष्ट आहे. साहित्य दाखवते की कलाकृती निर्मिती काही प्रकरणांमध्ये सदोष आहे; खाली लायब्ररी आधारित असलेल्या प्रकाशनांची उदाहरणे आहेत.
विशेषतः 3586 अविश्वसनीय की ओळखल्या गेल्या डेबियनसाठी OpenSSL पॅकेजमधील अनपॅच न केलेल्या CVE-2008-0166 भेद्यतेसह कोडद्वारे व्युत्पन्न केलेले, Infineon लायब्ररीमधील CVE-2533-2017 भेद्यतेशी संबंधित 15361 की आणि सर्वात सामान्य डीसीएम शोधण्याशी संबंधित भेद्यतेसह 1860 की ).
लक्षात घ्या की प्रकल्प संगणकीय संसाधनांच्या वापरावर प्रकाश टाकण्याचा हेतू आहे. चेक मोठ्या संख्येने कलाकृतींवर चालण्यासाठी पुरेसे जलद असले पाहिजेत आणि वास्तविक-जागतिक उत्पादन संदर्भात अर्थ लावला पाहिजे. कमी निर्बंध असलेले प्रकल्प, जसे की RsaCtfTool , वेगवेगळ्या वापराच्या प्रकरणांसाठी अधिक योग्य असू शकतात.
शेवटी, असे नमूद केले आहे की वापरात राहिलेल्या समस्याप्रधान प्रमाणपत्रांची माहिती त्यांच्या निरस्तीकरणासाठी प्रमाणन केंद्रांना पाठवण्यात आली होती.
साठी प्रकल्पाबद्दल अधिक जाणून घेण्यात स्वारस्य आहे, त्यांना माहित असले पाहिजे की कोड Python मध्ये लिहिलेला आहे आणि Apache 2.0 लायसन्स अंतर्गत सोडला आहे. तुम्ही तपशील, तसेच सोर्स कोडचा सल्ला घेऊ शकता पुढील लिंकवर