Paranoidni projekt za odkrivanje slabosti v kriptografskih artefaktih
P člani Googlove varnostne ekipe, izpuščeni prek objave v blogu so se odločili izdati izvorno kodo knjižnice "Paranoid", zasnovan za odkrivanje znanih slabosti v velikem številu nezanesljivih kriptografskih artefaktov, kot so javni ključi in digitalni podpisi, ustvarjeni v ranljivih sistemih strojne in programske opreme (HSM).
Projekt je lahko koristen za posredno vrednotenje uporabe algoritmov in knjižnic ki imajo znane vrzeli in ranljivosti, ki vplivajo na zanesljivost ustvarjenih ključev in digitalnih podpisov, ne glede na to, ali artefakte, ki se preverjajo, ustvari strojna oprema, ki ni dostopna za preverjanje, ali zaprte komponente, ki so črna skrinjica.
Poleg tega Google tudi omenja, da lahko črna skrinjica ustvari artefakt, če ga po enem scenariju ni ustvarilo eno od Googlovih orodij, kot je Tink. To bi se zgodilo tudi, če bi ga ustvarila knjižnica, ki jo lahko Google pregleda in preizkusi z uporabo Wycheproof.
Cilj odprtja knjižnice je povečati preglednost, omogočiti drugim ekosistemom, da jo uporabljajo (kot so certifikacijski organi, CA, ki morajo izvajati podobna preverjanja za izpolnjevanje skladnosti) in prejeti prispevke zunanjih raziskovalcev. Pri tem pozivamo k prispevkom, v upanju, da bodo pregledi dodani v knjižnico, ko bodo raziskovalci odkrili in prijavili kriptografske ranljivosti. Tako se lahko Google in preostali svet hitro odzoveta na nove grožnje.
Knjižnica lahko tudi razčleni nize psevdonaključnih števil da ugotovite zanesljivost vašega generatorja in z uporabo velike zbirke artefaktov identificirate prej neznane težave, ki nastanejo zaradi programskih napak ali uporabe nezanesljivih generatorjev psevdonaključnih števil.
Po drugi strani pa je omenjeno tudi to Paranoid funkcije implementacije in optimizacije, ki vzeti so bili iz obstoječe literature, povezane s kriptografijo, kar nakazuje, da je bilo ustvarjanje teh artefaktov v nekaterih primerih napačno.
Pri preverjanju vsebine javnega registra CT (Certificate Transparency), ki vključuje informacije o več kot 7 milijardah potrdil, s pomočjo predlagane knjižnice, problematičnih javnih ključev na osnovi eliptičnih krivulj (EC) in digitalnih podpisov na osnovi algoritma nismo našli. ECDSA, vendar so bili po algoritmu RSA najdeni problematični javni ključi.
Po razkritju ranljivosti ROCA smo se spraševali, katere druge slabosti bi lahko obstajale v kriptografskih artefaktih, ki jih ustvarjajo črne skrinjice, in kaj lahko storimo, da jih odkrijemo in ublažimo. Nato smo leta 2019 začeli delati na tem projektu in zgradili knjižnico za preverjanje velikega števila kriptografskih artefaktov.
Knjižnica vsebuje izvedbe in optimizacije obstoječih del, najdenih v literaturi. Literatura kaže, da je ustvarjanje artefaktov v nekaterih primerih napačno; Spodaj so primeri publikacij, na katerih temelji knjižnica.
Še posebej Identificiranih je bilo 3586 nezaupljivih ključev generira koda z nepopravljeno ranljivostjo CVE-2008-0166 v paketu OpenSSL za Debian, 2533 ključev, povezanih z ranljivostjo CVE-2017-15361 v knjižnici Infineon, in 1860 ključev z ranljivostjo, povezano z iskanjem največjega skupnega delitelja ( DCM ).
Upoštevajte, da je namen projekta zmanjšati uporabo računalniških virov. Preverjanja morajo biti dovolj hitra, da se izvajajo na velikem številu artefaktov, in morajo biti smiselna v produkcijskem kontekstu resničnega sveta. Projekti z manj omejitvami, kot je RsaCtfTool, so lahko primernejši za različne primere uporabe.
Na koncu je omenjeno, da so bili podatki o problematičnih certifikatih, ki so ostali v uporabi, poslani certifikacijskim centrom za njihov preklic.
Za zanima več o projektu, morajo vedeti, da je koda napisana v Pythonu in izdana pod licenco Apache 2.0. Ogledate si lahko podrobnosti, pa tudi izvorno kodo V naslednji povezavi.