Paranoid projek untuk mengesan kelemahan dalam artifak kriptografi
The ahli pasukan keselamatan Google, dikeluarkan melalui catatan blog telah membuat keputusan untuk mengeluarkan kod sumber perpustakaan "Paranoid", direka untuk mengesan kelemahan yang diketahui dalam sejumlah besar artifak kriptografi yang tidak boleh dipercayai, seperti kunci awam dan tandatangan digital yang dicipta dalam sistem perkakasan dan perisian (HSM) yang terdedah.
Projek itu boleh berguna untuk penilaian tidak langsung penggunaan algoritma dan perpustakaan yang mengetahui jurang dan kelemahan yang menjejaskan kebolehpercayaan kunci dan tandatangan digital yang dijana, sama ada artifak yang disahkan dijana oleh perkakasan yang tidak boleh diakses untuk pengesahan atau komponen tertutup yang merupakan kotak hitam.
Selain itu, Google juga menyebut bahawa kotak hitam boleh menjana artifak jika, dalam satu senario, ia tidak dihasilkan oleh salah satu alat Google sendiri seperti Tink. Ini juga akan berlaku jika ia dijana oleh perpustakaan yang boleh diperiksa dan diuji oleh Google menggunakan Wycheproof.
Matlamat membuka perpustakaan adalah untuk meningkatkan ketelusan, membenarkan ekosistem lain menggunakannya (seperti Pihak Berkuasa Sijil, CA yang perlu melakukan pemeriksaan serupa untuk memenuhi pematuhan), dan menerima sumbangan daripada penyelidik luar. Dengan berbuat demikian, kami meminta sumbangan, dengan harapan bahawa selepas penyelidik menemui dan melaporkan kelemahan kriptografi, cek akan ditambahkan ke perpustakaan. Dengan cara ini, Google dan seluruh dunia boleh bertindak balas dengan pantas kepada ancaman baharu.
Perpustakaan juga boleh menghuraikan set nombor pseudorandom untuk menentukan kebolehpercayaan penjana anda dan, menggunakan koleksi artifak yang besar, kenal pasti masalah yang tidak diketahui sebelum ini yang timbul akibat ralat pengaturcaraan atau penggunaan penjana nombor pseudo-rawak yang tidak boleh dipercayai.
Sebaliknya, disebut juga bahawa Paranoid menampilkan pelaksanaan dan pengoptimuman yang ia diambil daripada literatur sedia ada yang berkaitan dengan kriptografi, membayangkan bahawa penjanaan artifak ini adalah cacat dalam beberapa kes.
Apabila menyemak kandungan daftar awam CT (Ketelusan Sijil), yang merangkumi maklumat mengenai lebih daripada 7 bilion sijil, menggunakan perpustakaan yang dicadangkan, kunci awam bermasalah berdasarkan lengkung eliptik (EC) dan tandatangan digital berdasarkan algoritma tidak dijumpai. ECDSA, tetapi kunci awam yang bermasalah ditemui mengikut algoritma RSA.
Selepas pendedahan kelemahan ROCA, kami tertanya-tanya apakah kelemahan lain yang mungkin wujud dalam artifak kriptografi yang dijana oleh kotak hitam dan perkara yang boleh kami lakukan untuk mengesan dan mengurangkannya. Kami kemudian mula mengerjakan projek ini pada 2019 dan membina perpustakaan untuk melakukan semakan terhadap sejumlah besar artifak kriptografi.
Perpustakaan mengandungi pelaksanaan dan pengoptimuman karya sedia ada yang terdapat dalam kesusasteraan. Kesusasteraan menunjukkan bahawa penjanaan artifak adalah cacat dalam beberapa kes; Di bawah adalah contoh penerbitan yang menjadi asas perpustakaan.
Secara khusus 3586 kunci yang tidak dipercayai telah dikenal pasti dijana melalui kod dengan kerentanan CVE-2008-0166 yang belum ditambal dalam pakej OpenSSL untuk Debian, kunci 2533 yang dikaitkan dengan kerentanan CVE-2017-15361 dalam pustaka Infineon dan kunci 1860 dengan kelemahan yang dikaitkan dengan mencari pembahagi sepunya yang paling hebat ( DCM ).
Ambil perhatian bahawa projek ini bertujuan untuk mengurangkan penggunaan sumber pengiraan. Pemeriksaan mestilah cukup pantas untuk dijalankan pada sejumlah besar artifak dan mesti masuk akal dalam konteks pengeluaran dunia sebenar. Projek dengan sekatan yang lebih sedikit, seperti RsaCtfTool , mungkin lebih sesuai untuk kes penggunaan yang berbeza.
Akhir sekali, disebutkan bahawa maklumat mengenai sijil bermasalah yang masih digunakan telah dihantar ke pusat pensijilan untuk pembatalannya.
Untuk berminat untuk mengetahui lebih lanjut mengenai projek tersebut, mereka harus tahu bahawa kod itu ditulis dalam Python dan dikeluarkan di bawah lesen Apache 2.0. Anda boleh merujuk butiran, serta kod sumber Dalam pautan berikut.