ගුප්තකේතන කෞතුක වස්තු වල දුර්වලතා හඳුනාගැනීමේ ව්‍යාපෘතිය වන Paranoid හි ප්‍රභව කේතය Google නිකුත් කළේය.

පරානොයිඩ්

Paranoid ගුප්ත ලේඛන කෞතුක වස්තු වල දුර්වලතා හඳුනාගැනීමේ ව්‍යාපෘතියකි

මෙම Google ආරක්ෂක කණ්ඩායමේ සාමාජිකයින්, නිදහස් කරන ලදී බ්ලොග් සටහනක් හරහා "Paranoid" පුස්තකාලයේ මූල කේතය නිකුත් කිරීමට තීරණය කර ඇත, අවදානමට ලක්විය හැකි දෘඪාංග සහ මෘදුකාංග පද්ධති (HSM) තුළ නිර්මාණය කරන ලද පොදු යතුරු සහ ඩිජිටල් අත්සන් වැනි විශ්වාස කළ නොහැකි ගුප්ත ලේඛන කෞතුක භාණ්ඩ විශාල සංඛ්‍යාවක දන්නා දුර්වලතා හඳුනා ගැනීමට නිර්මාණය කර ඇත.

ව්යාපෘතිය ඇල්ගොරිතම සහ පුස්තකාල භාවිතය පිළිබඳ වක්‍ර ඇගයීම සඳහා ප්‍රයෝජනවත් විය හැක ජනනය කරන ලද යතුරු සහ සංඛ්‍යාංක අත්සන් වල විශ්වසනීයත්වයට බලපාන හිඩැස් සහ දුර්වලතා ඇති බව, සත්‍යාපනය කරනු ලබන කෞතුක භාණ්ඩ සත්‍යාපනය සඳහා ප්‍රවේශ විය නොහැකි දෘඩාංග මගින් ජනනය කරන්නේද නැතහොත් කළු පෙට්ටියක් වන සංවෘත සංරචක මගින්ද යන්න.

ඊට අමතරව, කළු පෙට්ටියකට කෞතුක වස්තුවක් ජනනය කළ හැකි බව ගූගල් සඳහන් කරයි, එක් අවස්ථාවක, එය Tink වැනි ගූගල්ගේම මෙවලමක් මගින් ජනනය නොකළේය. Google හට Wycheproof භාවිතයෙන් පරීක්ෂා කර පරීක්ෂා කළ හැකි පුස්තකාලයක් මඟින් එය ජනනය කළහොත් මෙයද සිදුවනු ඇත.

පුස්තකාලය විවෘත කිරීමේ පරමාර්ථය වන්නේ විනිවිදභාවය වැඩි කිරීම, අනෙකුත් පරිසර පද්ධතිවලට එය භාවිතා කිරීමට ඉඩ දීම (සහතික අධිකාරීන්, අනුකූලතා සපුරාලීම සඳහා සමාන චෙක්පත් කළ යුතු CA වැනි) සහ බාහිර පර්යේෂකයින්ගෙන් දායකත්වය ලබා ගැනීමයි. එසේ කිරීමෙන්, පර්යේෂකයන් ගුප්ත ලේඛන දුර්වලතා සොයාගෙන වාර්තා කිරීමෙන් පසුව, චෙක්පත් පුස්තකාලයට එක් කරනු ඇතැයි බලාපොරොත්තු වන පරිදි, අපි දායකත්ව ඉල්ලා සිටිමු. මේ ආකාරයෙන්, Google සහ අනෙකුත් ලෝකයට නව තර්ජන වලට ඉක්මනින් ප්රතිචාර දැක්විය හැක.

පුස්තකාලය ව්‍යාජ සංඛ්‍යා කට්ටලද විග්‍රහ කළ හැක ඔබේ උත්පාදක යන්ත්‍රයේ විශ්වසනීයත්වය තීරණය කිරීමට සහ විශාල කෞතුක වස්තු එකතුවක් භාවිතා කරමින්, ක්‍රමලේඛන දෝෂ හෝ විශ්වාස කළ නොහැකි ව්‍යාජ අහඹු සංඛ්‍යා උත්පාදක භාවිතය හේතුවෙන් පැන නගින කලින් නොදන්නා ගැටළු හඳුනා ගන්න.

අනෙක් අතට, එය ද සඳහන් වේ Paranoid විශේෂාංග ක්‍රියාත්මක කිරීම් සහ ප්‍රශස්තකරණයන් බව ඒවා ලබාගෙන ඇත්තේ ගුප්ත ලේඛන විද්‍යාවට අදාළ පවතින සාහිත්‍යවලින් වන අතර, එයින් ඇඟවෙන්නේ මෙම කෞතුක වස්තු පරම්පරාව සමහර අවස්ථාවලදී දෝෂ සහිත බවයි.

යෝජිත පුස්තකාලය භාවිතා කරමින් බිලියන 7කට වැඩි සහතිකවල තොරතුරු ඇතුළත් CT (සහතික විනිවිදභාවය) පොදු ලේඛනයේ අන්තර්ගතය පරීක්ෂා කිරීමේදී, ඉලිප්සීය වක්‍ර (EC) මත පදනම් වූ ගැටළු සහගත පොදු යතුරු සහ ඇල්ගොරිතම මත පදනම් වූ ඩිජිටල් අත්සන් හමු නොවීය. ECDSA, නමුත් ගැටළු සහගත පොදු යතුරු RSA ඇල්ගොරිතමයට අනුව සොයා ගන්නා ලදී.

ROCA අවදානම හෙළිදරව් කිරීමෙන් පසුව, කළු පෙට්ටි මගින් ජනනය කරන ලද ගුප්ත ලේඛන කෞතුක වස්තු වල පවතින වෙනත් දුර්වලතා මොනවාද සහ ඒවා හඳුනා ගැනීමට සහ අවම කිරීමට අපට කළ හැකි දේ ගැන අපි කල්පනා කළෙමු. අපි පසුව 2019 දී මෙම ව්‍යාපෘතියේ වැඩ ආරම්භ කළ අතර ගුප්තකේතන කෞතුක වස්තු විශාල සංඛ්‍යාවකට එරෙහිව චෙක්පත් කිරීමට පුස්තකාලයක් ගොඩනඟමු.

පුස්තකාලයේ සාහිත්‍යයේ පවතින කෘතිවල ක්‍රියාත්මක කිරීම් සහ ප්‍රශස්තකරණයන් අඩංගු වේ. කෞතුක වස්තු උත්පාදනය සමහර අවස්ථාවලදී දෝෂ සහිත බව සාහිත්යය පෙන්නුම් කරයි; පුස්තකාලය පදනම් කරගත් ප්‍රකාශන සඳහා උදාහරණ පහත දැක්වේ.

විශේෂයෙන් විශ්වාස නොකළ යතුරු 3586 ක් හඳුනාගෙන ඇත Debian සඳහා OpenSSL පැකේජයේ ඇති නොගැලපෙන CVE-2008-0166 අවදානම සමඟ කේතය මගින් ජනනය කරන ලදී, Infineon පුස්තකාලයේ CVE-2533-2017 අවදානමට සම්බන්ධ යතුරු 15361 සහ 1860 යතුරු (විශිෂ්ඨතම බෙදීම සොයා ගැනීම හා සම්බන්ධ අවදානම් සහිත DCM) )

ව්‍යාපෘතිය ගණනය කිරීමේ සම්පත් භාවිතය සම්බන්ධයෙන් සැහැල්ලු වීමට අදහස් කරන බව සලකන්න. චෙක්පත් කෞතුක භාණ්ඩ විශාල සංඛ්‍යාවක් මත ධාවනය කිරීමට තරම් වේගවත් විය යුතු අතර සැබෑ ලෝක නිෂ්පාදන සන්දර්භය තුළ අර්ථවත් විය යුතුය. RsaCtfTool වැනි අඩු සීමා සහිත ව්‍යාපෘති විවිධ භාවිත අවස්ථා සඳහා වඩාත් සුදුසු විය හැක.

අවසාන වශයෙන්, භාවිතයේ පවතින ගැටළු සහගත සහතික පිළිබඳ තොරතුරු ඒවා අවලංගු කිරීම සඳහා සහතික කිරීමේ මධ්‍යස්ථාන වෙත යවා ඇති බව සඳහන් වේ.

ඒ සඳහා ව්යාපෘතිය ගැන වැඩි විස්තර දැන ගැනීමට උනන්දු වෙයි, කේතය Python වලින් ලියා ඇති බවත් Apache 2.0 බලපත්‍රය යටතේ නිකුත් කරන බවත් ඔවුන් දැන සිටිය යුතුය. ඔබට විස්තර මෙන්ම මූලාශ්‍ර කේතයද විමසා බැලිය හැක පහත සබැඳියේ.


ලිපියේ අන්තර්ගතය අපගේ මූලධර්මවලට අනුකූල වේ කතුවැකි ආචාර ධර්ම. දෝෂයක් වාර්තා කිරීමට ක්ලික් කරන්න මෙන්න.

අදහස් පළ කිරීමට ප්රථම වන්න

ඔබේ අදහස තබන්න

ඔබේ ඊ-මේල් ලිපිනය පළ කරනු නොලැබේ. අවශ්ය ක්ෂේත්ර දක්වා ඇති ලකුණ *

*

*

  1. දත්ත සඳහා වගකිව යුතු: මිගෙල් ඇන්ජල් ගැටන්
  2. දත්තවල අරමුණ: SPAM පාලනය කිරීම, අදහස් කළමනාකරණය.
  3. නීත්‍යානුකූලභාවය: ඔබේ කැමැත්ත
  4. දත්ත සන්නිවේදනය: නෛතික බැඳීමකින් හැර දත්ත තෙවන පාර්ශවයකට සන්නිවේදනය නොකෙරේ.
  5. දත්ත ගබඩා කිරීම: ඔක්සෙන්ටස් නෙට්වර්ක්ස් (EU) විසින් සත්කාරකත්වය දක්වන දත්ත සමුදාය
  6. අයිතිවාසිකම්: ඕනෑම වේලාවක ඔබට ඔබේ තොරතුරු සීමා කිරීමට, නැවත ලබා ගැනීමට සහ මකා දැමීමට හැකිය.