หวาดระแวง โครงการตรวจจับจุดอ่อนในสิ่งประดิษฐ์เข้ารหัสลับ
ลอส สมาชิกของทีมรักษาความปลอดภัยของ Google เปิดตัว ผ่านบล็อกโพสต์ ได้ตัดสินใจที่จะปล่อยซอร์สโค้ดของไลบรารี "Paranoid" ออกแบบมาเพื่อตรวจจับจุดอ่อนที่ทราบในสิ่งประดิษฐ์เข้ารหัสที่ไม่น่าเชื่อถือจำนวนมาก เช่น กุญแจสาธารณะและลายเซ็นดิจิทัลที่สร้างขึ้นในระบบฮาร์ดแวร์และซอฟต์แวร์ที่มีช่องโหว่ (HSM)
โครงการ สามารถเป็นประโยชน์สำหรับการประเมินทางอ้อมของการใช้อัลกอริธึมและไลบรารี ที่มีช่องว่างและช่องโหว่ที่ทราบซึ่งส่งผลต่อความน่าเชื่อถือของคีย์และลายเซ็นดิจิทัลที่สร้างขึ้น ไม่ว่าสิ่งประดิษฐ์ที่ถูกตรวจสอบนั้นถูกสร้างขึ้นโดยฮาร์ดแวร์ที่ไม่สามารถเข้าถึงได้สำหรับการตรวจสอบหรือส่วนประกอบที่ปิดซึ่งเป็นกล่องดำ
นอกจากนั้น Google ยังระบุด้วยว่ากล่องดำสามารถสร้างสิ่งประดิษฐ์ได้ หากในกรณีหนึ่ง มันไม่ได้ถูกสร้างขึ้นโดยเครื่องมือของ Google เช่น Tink สิ่งนี้จะเกิดขึ้นเช่นกันหากสร้างโดยห้องสมุดที่ Google สามารถตรวจสอบและทดสอบโดยใช้ Wycheproof
เป้าหมายของการเปิดห้องสมุดคือการเพิ่มความโปร่งใส อนุญาตให้ระบบนิเวศอื่นๆ ใช้งานได้ (เช่น หน่วยงานออกใบรับรอง, CA ที่จำเป็นต้องดำเนินการตรวจสอบที่คล้ายคลึงกันเพื่อให้เป็นไปตามข้อกำหนด) และรับการสนับสนุนจากนักวิจัยภายนอก ในการทำเช่นนั้น เรากำลังเรียกร้องให้มีส่วนร่วม ด้วยความหวังว่าหลังจากที่นักวิจัยพบและรายงานช่องโหว่ในการเข้ารหัส การตรวจสอบจะถูกเพิ่มไปยังห้องสมุด ด้วยวิธีนี้ Google และทั่วโลกสามารถตอบสนองต่อภัยคุกคามใหม่ๆ ได้อย่างรวดเร็ว
ห้องสมุด สามารถแยกชุดตัวเลขสุ่มเทียมได้ เพื่อกำหนดความน่าเชื่อถือของเครื่องกำเนิดไฟฟ้าของคุณ และใช้สิ่งประดิษฐ์จำนวนมาก ระบุปัญหาที่ไม่ทราบมาก่อนซึ่งเกิดขึ้นเนื่องจากข้อผิดพลาดในการเขียนโปรแกรมหรือการใช้ตัวสร้างตัวเลขสุ่มหลอกที่ไม่น่าเชื่อถือ
ในทางกลับกัน ยังมีการกล่าวอีกว่า Paranoid มีการใช้งานและการเพิ่มประสิทธิภาพที่ พวกเขาดึงมาจากวรรณกรรมที่มีอยู่ซึ่งเกี่ยวข้องกับการเข้ารหัส ซึ่งหมายความว่าการสร้างสิ่งประดิษฐ์เหล่านี้มีข้อบกพร่องในบางกรณี
เมื่อตรวจสอบเนื้อหาของรีจิสทรีสาธารณะ CT (ความโปร่งใสของใบรับรอง) ซึ่งรวมถึงข้อมูลเกี่ยวกับใบรับรองมากกว่า 7 พันล้านรายการโดยใช้ไลบรารีที่เสนอ ไม่พบคีย์สาธารณะที่มีปัญหาตามเส้นโค้งรูปไข่ (EC) และลายเซ็นดิจิทัลตามอัลกอริทึม ECDSA แต่พบกุญแจสาธารณะที่มีปัญหาตามอัลกอริทึม RSA
หลังจากการเปิดเผยช่องโหว่ของ ROCA เราสงสัยว่าจุดอ่อนอื่นๆ ที่อาจมีอยู่ในสิ่งประดิษฐ์เข้ารหัสที่สร้างโดยกล่องดำ และสิ่งที่เราสามารถทำได้เพื่อตรวจจับและบรรเทาปัญหาเหล่านั้น จากนั้นเราเริ่มทำงานในโครงการนี้ในปี 2019 และสร้างห้องสมุดเพื่อตรวจสอบกับสิ่งประดิษฐ์เข้ารหัสจำนวนมาก
ห้องสมุดมีการใช้งานและการเพิ่มประสิทธิภาพของงานที่มีอยู่ในวรรณกรรม วรรณกรรมแสดงให้เห็นว่าการสร้างสิ่งประดิษฐ์มีข้อบกพร่องในบางกรณี ด้านล่างนี้คือตัวอย่างสิ่งพิมพ์ที่ห้องสมุดอ้างอิง
โดยเฉพาะอย่างยิ่ง 3586 คีย์ที่ไม่น่าเชื่อถือถูกระบุ สร้างโดยรหัสที่มีช่องโหว่ CVE-2008-0166 ที่ไม่ได้รับการแก้ไขในแพ็คเกจ OpenSSL สำหรับ Debian, 2533 คีย์ที่เกี่ยวข้องกับช่องโหว่ CVE-2017-15361 ในไลบรารี Infineon และ 1860 คีย์ที่มีช่องโหว่ที่เกี่ยวข้องกับการค้นหาตัวหารร่วมที่ยิ่งใหญ่ที่สุด ( DCM ).
โปรดทราบว่าโครงการนี้มีจุดมุ่งหมายเพื่อให้เข้าใจถึงการใช้ทรัพยากรการคำนวณ การตรวจสอบต้องเร็วพอที่จะรันบนสิ่งประดิษฐ์จำนวนมาก และต้องสมเหตุสมผลในบริบทการผลิตในโลกแห่งความเป็นจริง โครงการที่มีข้อจำกัดน้อยกว่า เช่น RsaCtfTool อาจเหมาะสมกว่าสำหรับกรณีการใช้งานที่แตกต่างกัน
ในที่สุดก็มีการกล่าวถึงข้อมูลเกี่ยวกับใบรับรองที่มีปัญหาซึ่งยังคงใช้งานอยู่ถูกส่งไปยังศูนย์ออกใบรับรองเพื่อเพิกถอน
สำหรับ สนใจทราบข้อมูลเพิ่มเติมเกี่ยวกับโครงการพวกเขาควรรู้ว่าโค้ดนี้เขียนด้วยภาษา Python และเผยแพร่ภายใต้ลิขสิทธิ์ Apache 2.0 คุณสามารถปรึกษารายละเอียดเช่นเดียวกับซอร์สโค้ด ในลิงค์ต่อไปนี้.