Paranojak një projekt për të zbuluar dobësitë në artefaktet kriptografike
L anëtarë të ekipit të sigurisë së Google, të liruar përmes një postimi në blog kanë marrë vendimin për nxjerrjen e kodit burimor të bibliotekës “Paranoid”, projektuar për të zbuluar dobësitë e njohura në një numër të madh objektesh kriptografike jo të besueshme, të tilla si çelësat publikë dhe nënshkrimet dixhitale të krijuara në sistemet e pambrojtura harduerike dhe softuerike (HSM).
El Proyecto mund të jetë i dobishëm për vlerësimin indirekt të përdorimit të algoritmeve dhe bibliotekave që kanë boshllëqe dhe dobësi të njohura që ndikojnë në besueshmërinë e çelësave dhe nënshkrimeve dixhitale të krijuara, nëse artefaktet që verifikohen janë krijuar nga hardueri që është i paarritshëm për verifikim ose komponentë të mbyllur që janë një kuti e zezë.
Përveç kësaj, Google përmend gjithashtu se një kuti e zezë mund të gjenerojë një objekt nëse, në një skenar, nuk është krijuar nga një nga mjetet e vetë Google si Tink. Kjo do të ndodhte gjithashtu nëse do të krijohej nga një bibliotekë që Google mund të inspektojë dhe testojë duke përdorur Wycheproof.
Qëllimi i hapjes së bibliotekës është rritja e transparencës, lejimi i ekosistemeve të tjera që ta përdorin atë (siç janë autoritetet e certifikimit, CA që duhet të kryejnë kontrolle të ngjashme për të përmbushur pajtueshmërinë) dhe të marrin kontribute nga studiues të jashtëm. Duke bërë këtë, ne po bëjmë thirrje për kontribute, me shpresën që pasi studiuesit të gjejnë dhe raportojnë dobësitë kriptografike, kontrollet do të shtohen në bibliotekë. Në këtë mënyrë, Google dhe pjesa tjetër e botës mund t'i përgjigjen shpejt kërcënimeve të reja.
Librari mund të analizojë gjithashtu grupe numrash pseudorandom për të përcaktuar besueshmërinë e gjeneratorit tuaj dhe, duke përdorur një koleksion të madh objektesh, të identifikoni problemet e panjohura më parë që lindin për shkak të gabimeve të programimit ose përdorimit të gjeneratorëve të numrave pseudo të rastësishëm jo të besueshëm.
Nga ana tjetër, përmendet gjithashtu se Paranojak përmban implementime dhe optimizime që ato janë nxjerrë nga literatura ekzistuese në lidhje me kriptografinë, duke lënë të kuptohet se gjenerimi i këtyre artefakteve ka qenë me të meta në disa raste.
Gjatë kontrollimit të përmbajtjes së regjistrit publik CT (Transparenca e Certifikatave), i cili përfshin informacione për më shumë se 7 miliardë certifikata, duke përdorur bibliotekën e propozuar, nuk u gjetën çelësa publikë problematikë të bazuar në kurba eliptike (EC) dhe nënshkrime dixhitale të bazuara në algoritëm. ECDSA, por çelësat publikë problematikë u gjetën sipas algoritmit RSA.
Pas zbulimit të cenueshmërisë ROCA, ne pyetëm se cilat dobësi të tjera mund të ekzistojnë në artefaktet kriptografike të krijuara nga kutitë e zeza dhe çfarë mund të bëjmë për t'i zbuluar dhe zbutur ato. Më pas filluam të punojmë për këtë projekt në vitin 2019 dhe ndërtuam një bibliotekë për të kryer kontrolle ndaj një numri të madh artefaktesh kriptografike.
Biblioteka përmban implementime dhe optimizime të veprave ekzistuese që gjenden në literaturë. Literatura tregon se gjenerimi i objekteve është me të meta në disa raste; Më poshtë janë shembuj të botimeve në të cilat bazohet biblioteka.
Në veçanti U identifikuan 3586 çelësa të pabesueshëm gjeneruar nga kodi me cenueshmërinë e papatchuar CVE-2008-0166 në paketën OpenSSL për Debian, 2533 çelësa të lidhur me cenueshmërinë CVE-2017-15361 në bibliotekën Infineon dhe 1860 çelësa me cenueshmërinë që lidhet me gjetjen e divizionit më të madh të DCM ).
Vini re se projekti synohet të jetë i lehtë në përdorimin e burimeve llogaritëse. Kontrollet duhet të jenë mjaft të shpejta për të kryer një numër të madh objektesh dhe duhet të kenë kuptim në kontekstin e prodhimit të botës reale. Projektet me më pak kufizime, si RsaCtfTool, mund të jenë më të përshtatshme për raste të ndryshme përdorimi.
Në fund, përmendet se informacioni për certifikatat problematike që kanë mbetur në përdorim u dërguan në qendrat e certifikimit për revokimin e tyre.
Për të interesuar të dinë më shumë rreth projektit, ata duhet të dinë se kodi është shkruar në Python dhe lëshohet nën licencën Apache 2.0. Ju mund të konsultoni detajet, si dhe kodin burimor Në lidhjen vijuese.