Hoang tưởng một dự án phát hiện điểm yếu trong các tạo tác mật mã
Các thành viên của nhóm bảo mật Google, đã được phát hành thông qua một bài đăng trên blog đã đưa ra quyết định phát hành mã nguồn của thư viện "Paranoid", được thiết kế để phát hiện các điểm yếu đã biết trong số lượng lớn các tạo tác mật mã không đáng tin cậy, chẳng hạn như khóa công khai và chữ ký số được tạo trong các hệ thống phần cứng và phần mềm dễ bị tấn công (HSM).
Dự án có thể hữu ích cho việc đánh giá gián tiếp việc sử dụng các thuật toán và thư viện có các lỗ hổng và lỗ hổng đã biết ảnh hưởng đến độ tin cậy của các khóa và chữ ký số được tạo, cho dù các thành phần đang được xác minh được tạo ra bởi phần cứng không thể truy cập để xác minh hay các thành phần đóng là hộp đen.
Ngoài ra, Google cũng đề cập rằng hộp đen có thể tạo ra một phần mềm nếu, trong một tình huống, nó không được tạo ra bởi một trong những công cụ của riêng Google như Tink. Điều này cũng sẽ xảy ra nếu nó được tạo bởi một thư viện mà Google có thể kiểm tra và kiểm tra bằng cách sử dụng Wycheproof.
Mục tiêu của việc mở thư viện là tăng tính minh bạch, cho phép các hệ sinh thái khác sử dụng nó (chẳng hạn như tổ chức chứng nhận, CA cần thực hiện kiểm tra tương tự để đáp ứng sự tuân thủ) và nhận được sự đóng góp từ các nhà nghiên cứu bên ngoài. Khi làm như vậy, chúng tôi đang kêu gọi đóng góp, với hy vọng rằng sau khi các nhà nghiên cứu tìm thấy và báo cáo các lỗ hổng mật mã, các kiểm tra sẽ được thêm vào thư viện. Bằng cách này, Google và phần còn lại của thế giới có thể phản ứng nhanh chóng với các mối đe dọa mới.
Thư viện cũng có thể phân tích cú pháp tập hợp các số giả ngẫu nhiên để xác định độ tin cậy của trình tạo của bạn và, sử dụng một bộ sưu tập lớn các hiện vật, xác định các vấn đề chưa biết trước đây phát sinh do lỗi lập trình hoặc việc sử dụng trình tạo số giả ngẫu nhiên không đáng tin cậy.
Mặt khác, nó cũng được đề cập rằng Tính năng hoang tưởng triển khai và tối ưu hóa chúng được rút ra từ các tài liệu hiện có liên quan đến mật mã, ngụ ý rằng việc tạo ra các hiện vật này có sai sót trong một số trường hợp.
Khi kiểm tra nội dung của sổ đăng ký công khai CT (Chứng chỉ minh bạch), bao gồm thông tin về hơn 7 tỷ chứng chỉ, sử dụng thư viện đề xuất, các khóa công khai có vấn đề dựa trên đường cong elliptic (EC) và chữ ký số dựa trên thuật toán đã không được tìm thấy. ECDSA, nhưng các khóa công khai có vấn đề đã được tìm thấy theo thuật toán RSA.
Sau khi tiết lộ lỗ hổng ROCA, chúng tôi tự hỏi những điểm yếu nào khác có thể tồn tại trong các tạo tác mật mã được tạo ra bởi hộp đen và chúng tôi có thể làm gì để phát hiện và giảm thiểu chúng. Sau đó, chúng tôi bắt đầu thực hiện dự án này vào năm 2019 và xây dựng một thư viện để thực hiện kiểm tra số lượng lớn các hiện vật mật mã.
Thư viện chứa các triển khai và tối ưu hóa các tác phẩm hiện có được tìm thấy trong tài liệu. Các tài liệu cho thấy việc tạo tác có sai sót trong một số trường hợp; Dưới đây là ví dụ về các ấn phẩm mà thư viện dựa trên.
Đặc biệt, 3586 khóa không đáng tin cậy đã được xác định được tạo bởi mã có lỗ hổng CVE-2008-0166 chưa được vá trong gói OpenSSL dành cho Debian, 2533 khóa được liên kết với lỗ hổng CVE-2017-15361 trong thư viện Infineon và 1860 khóa có lỗ hổng liên quan đến việc tìm ước số chung lớn nhất (DCM ).
Lưu ý rằng dự án nhằm mục đích xem nhẹ việc sử dụng các tài nguyên tính toán. Việc kiểm tra phải đủ nhanh để chạy trên một số lượng lớn hiện vật và phải có ý nghĩa trong bối cảnh sản xuất trong thế giới thực. Các dự án có ít hạn chế hơn, chẳng hạn như RsaCtfTool, có thể thích hợp hơn cho các trường hợp sử dụng khác nhau.
Cuối cùng, người ta đề cập rằng thông tin về các chứng chỉ có vấn đề vẫn được sử dụng đã được gửi đến các trung tâm chứng nhận để thu hồi.
vì muốn biết thêm về dự án, họ nên biết rằng mã được viết bằng Python và được phát hành theo giấy phép Apache 2.0. Bạn có thể tham khảo thông tin chi tiết, cũng như mã nguồn Trong liên kết sau đây.