Paranoidný projekt na odhaľovanie slabín v kryptografických artefaktoch
undefined prepustených členov bezpečnostného tímu Google prostredníctvom blogového príspevku sa rozhodli zverejniť zdrojový kód knižnice „Paranoid“, navrhnuté na detekciu známych slabín vo veľkom počte nespoľahlivých kryptografických artefaktov, ako sú verejné kľúče a digitálne podpisy vytvorené v zraniteľných hardvérových a softvérových systémoch (HSM).
Projekt môžu byť užitočné na nepriame hodnotenie použitia algoritmov a knižníc ktoré majú známe medzery a zraniteľnosti, ktoré ovplyvňujú spoľahlivosť generovaných kľúčov a digitálnych podpisov, či už sú overované artefakty generované hardvérom, ktorý nie je dostupný pre overenie, alebo uzavretými komponentmi, ktoré sú čiernou skrinkou.
Okrem toho Google tiež uvádza, že čierna skrinka môže vygenerovať artefakt, ak v jednom scenári nebol vygenerovaný jedným z vlastných nástrojov Google, ako je Tink. To by sa stalo aj vtedy, ak by bol vygenerovaný knižnicou, ktorú môže Google kontrolovať a testovať pomocou Wycheproof.
Cieľom otvorenia knižnice je zvýšiť transparentnosť, umožniť iným ekosystémom, aby ju používali (ako sú certifikačné autority, CA, ktoré musia vykonávať podobné kontroly, aby splnili súlad), a získať príspevky od externých výskumníkov. Pritom žiadame o príspevky v nádeji, že keď výskumníci nájdu a nahlásia kryptografické zraniteľnosti, kontroly budú pridané do knižnice. Google a zvyšok sveta tak môžu rýchlo reagovať na nové hrozby.
Knižnica môže tiež analyzovať množiny pseudonáhodných čísel určiť spoľahlivosť vášho generátora a pomocou veľkej zbierky artefaktov identifikovať predtým neznáme problémy, ktoré vznikajú v dôsledku programovacích chýb alebo používania nespoľahlivých generátorov pseudonáhodných čísel.
Na druhej strane sa tiež uvádza, že Paranoid obsahuje implementácie a optimalizácie, ktoré boli čerpané z existujúcej literatúry súvisiacej s kryptografiou, čo naznačuje, že vytváranie týchto artefaktov bolo v niektorých prípadoch chybné.
Pri kontrole obsahu verejného registra CT (Certificate Transparency), ktorý obsahuje informácie o viac ako 7 miliardách certifikátov, pomocou navrhovanej knižnice neboli zistené problematické verejné kľúče založené na eliptických krivkách (EC) a digitálne podpisy založené na algoritme. ECDSA, ale problematické verejné kľúče boli nájdené podľa algoritmu RSA.
Po odhalení zraniteľnosti ROCA nás zaujímalo, aké ďalšie slabiny by mohli existovať v kryptografických artefaktoch generovaných čiernymi skrinkami a čo by sme mohli urobiť na ich odhalenie a zmiernenie. Potom sme začali pracovať na tomto projekte v roku 2019 a vybudovali sme knižnicu na vykonávanie kontrol veľkého počtu kryptografických artefaktov.
Knižnica obsahuje implementácie a optimalizácie existujúcich diel nájdených v literatúre. Literatúra ukazuje, že generovanie artefaktov je v niektorých prípadoch chybné; Nižšie sú uvedené príklady publikácií, z ktorých knižnica vychádza.
Najmä Bolo identifikovaných 3586 nedôveryhodných kľúčov generované kódom s neopravenou zraniteľnosťou CVE-2008-0166 v balíku OpenSSL pre Debian, 2533 kľúčov priradených k zraniteľnosti CVE-2017-15361 v knižnici Infineon a 1860 kľúčov so zraniteľnosťou spojenou s nájdením najväčšieho spoločného deliteľa (DCM ).
Všimnite si, že projekt má byť nenáročný na používanie výpočtových zdrojov. Kontroly musia byť dostatočne rýchle, aby sa spustili na veľkom počte artefaktov a musia dávať zmysel v kontexte reálnej produkcie. Projekty s menším počtom obmedzení, ako napríklad RsaCtfTool , môžu byť vhodnejšie pre rôzne prípady použitia.
Na záver sa uvádza, že informácie o problematických certifikátoch, ktoré zostali v prevádzke, boli zaslané certifikačným centrám na ich zrušenie.
pre záujem dozvedieť sa viac o projekte, mali by vedieť, že kód je napísaný v Pythone a je vydaný pod licenciou Apache 2.0. Môžete si pozrieť podrobnosti, ako aj zdrojový kód Na nasledujúcom odkaze.