圖片來源: 

GitHub

Google近日開源可偵測金鑰或簽章等加密元件漏洞的工具庫,名為Paranoid。

Paranoid可偵測大量加密元件,如公鑰或數位簽章的已知漏洞。Google本月初(8/3)開源了蒐集Google迄今實作檢測漏洞工具的程式庫,並公布於GitHub上

Google指出,加密元件可能是由系統以某種不知名的實作,像是硬體安全模組(Hardware Security Module)產生,但這些不知怎麼產生的加密元件,包括金鑰或數位簽章,卻被用來保護用戶資產。對Google而言,只要不是他們自己的工具(如Tink)或可經由Google自己的Project Wycheproof檢查測試的程式庫,他們都認為是從黑盒子產生的,難免有所懷疑。該公司以Project Wycheproof測試大部分演算法,像是RSA、橢圓曲線密碼學(elliptic curve crypto)和驗證加密。

在一些加密金鑰漏洞,如金鑰產製漏洞ROCA CVE-2017-15361(用於許多智慧卡、TPM及YubiKey 4),以及其他類似漏洞後,Google於2019年即啟動這專案,並建立了可檢查許多加密元件的程式庫。

這個程式庫包括許多已知漏洞研究的成果實作。例如最近發現的RSA加密金鑰產製漏洞CVE-2022-26320 ,就證明檢測已知漏洞的重要性。Google指出,由於專案團隊也會儘可能將偵測方法概括應用,因此他們相信也可能偵測出新漏洞。

Google將之開源出來,也鼓勵外部研究人員在發現到新的加密元件漏洞後,也能將其檢測方法貢獻到這個程式庫,供其他安全研究人員參考。而除了新的檢測方法,Google也歡迎針對現有檢測方法的改良。

不過也不是沒有限制,Google指出,由於Paranoid目的在減少使用運算資源,確保檢測法能很快針對大量加密元件進行檢測,才能在實際生產環境下使用。如果檢測法很花資源,則建議去別的專案,像是RsaCtfTool

最後,Google提醒,雖然這個程式庫是由Google安全團隊開發與維護,但並未獲得Google產品的官方支援。

熱門新聞

Advertisement