google近日开源可侦测密钥或签章等加密组件漏洞的工具库,名为paranoid。
paranoid可侦测大量加密组件,如公钥或数字签名的已知漏洞。google本月初(8/3)开源了搜集google迄今实例检测漏洞工具的程序库,并公布于github上。
google指出,加密组件可能是由系统以某种不知名的实例,像是硬件安全模块(hardware security module)产生,但这些不知怎么产生的加密组件,包括密钥或数字签名,却被用来保护用户资产。对google而言,只要不是他们自己的工具(如tink)或可经由google自己的project wycheproof检查测试的程序库,他们都认为是从黑盒子产生的,难免有所怀疑。该公司以project wycheproof测试大部分算法,像是rsa、椭圆曲线密码学(elliptic curve crypto)和验证加密。
在一些加密密钥漏洞,如密钥生产机制漏洞rocacve-2017-15361(用于许多智能卡、tpm及yubikey 4),以及其他类似漏洞后,google于2019年即启动这项目,并创建了可检查许多加密组件的程序库。
这个程序库包括许多已知漏洞研究的成果实例。例如最近发现的rsa加密密钥生产机制漏洞cve-2022-26320,就证明检测已知漏洞的重要性。google指出,由于项目团队也会尽可能将侦测方法概括应用,因此他们相信也可能侦测出新漏洞。
google将之开源出来,也鼓励外部研究人员在发现到新的加密组件漏洞后,也能将其检测方法贡献到这个程序库,供其他安全研究人员参考。而除了新的检测方法,google也欢迎针对现有检测方法的改良。
不过也不是没有限制,google指出,由于paranoid目的在减少使用计算资源,确保检测法能很快针对大量加密组件进行检测,才能在实际生产环境下使用。如果检测法很花资源,则建议去别的项目,像是rsactftool。
最后,google提醒,虽然这个程序库是由google安全团队开发与维护,但并未获得google产品的官方支持。