Google近日开源可侦测密钥或签章等加密组件漏洞的工具库,名为Paranoid。
Paranoid可侦测大量加密组件,如公钥或数字签名的已知漏洞。Google本月初(8/3)开源了搜集Google迄今实例检测漏洞工具的程序库,并公布于GitHub上。
Google指出,加密组件可能是由系统以某种不知名的实例,像是硬件安全模块(Hardware Security Module)产生,但这些不知怎么产生的加密组件,包括密钥或数字签名,却被用来保护用户资产。对Google而言,只要不是他们自己的工具(如Tink)或可经由Google自己的Project Wycheproof检查测试的程序库,他们都认为是从黑盒子产生的,难免有所怀疑。该公司以Project Wycheproof测试大部分算法,像是RSA、椭圆曲线密码学(elliptic curve crypto)和验证加密。
在一些加密密钥漏洞,如密钥生产机制漏洞ROCACVE-2017-15361(用于许多智能卡、TPM及YubiKey 4),以及其他类似漏洞后,Google于2019年即启动这项目,并创建了可检查许多加密组件的程序库。
这个程序库包括许多已知漏洞研究的成果实例。例如最近发现的RSA加密密钥生产机制漏洞CVE-2022-26320,就证明检测已知漏洞的重要性。Google指出,由于项目团队也会尽可能将侦测方法概括应用,因此他们相信也可能侦测出新漏洞。
Google将之开源出来,也鼓励外部研究人员在发现到新的加密组件漏洞后,也能将其检测方法贡献到这个程序库,供其他安全研究人员参考。而除了新的检测方法,Google也欢迎针对现有检测方法的改良。
不过也不是没有限制,Google指出,由于Paranoid目的在减少使用计算资源,确保检测法能很快针对大量加密组件进行检测,才能在实际生产环境下使用。如果检测法很花资源,则建议去别的项目,像是RsaCtfTool。
最后,Google提醒,虽然这个程序库是由Google安全团队开发与维护,但并未获得Google产品的官方支持。