Google は最近、暗号アーティファクトの一般的な脆弱性を特定するプロジェクトである Paranoid を公式にオープンソース化しました。
Paranoid は、デジタル署名、一般的な疑似乱数、および公開鍵を含むいくつかの暗号アーティファクトのテストをサポートし、プログラミング エラーまたは弱い独自の乱数ジェネレーターの使用によって引き起こされる問題を特定します。
Google の公式情報によると、Paranoid は、未知の実装システムによって生成されたものであっても、任意のアーティファクトを検査できます (Google では、ソース コードを検査できない「ブラック ボックス」と呼んでいます)。
アーティファクトは、独自のツール (Tink など) や Wycheproof でチェックおよびテストできるライブラリではなく、ブラック ボックスによって生成される場合があります。十分に安全ではありませんが、残念ながら、ブラックボックスで生成されたアーティファクトに依存することになります
Google は Paranoid を使用して、発行された 70 億を超える Web サイト証明書を含む Certificate Transparency (CT) の暗号アーティファクトを調査し、重要かつ重大度の高い RSA 公開鍵の脆弱性の影響を受ける数千の証明書を発見しました。これらの証明書のほとんどは、有効期限が切れているか、取り消されています。
Google はライブラリをオープンソース化しました。これは、他のユーザーが使用できるようにするためだけでなく、透明性を高め、部外者からの貢献を受け入れるためでもあります。暗号の脆弱性が発見され報告されたときに、研究者がライブラリにチェックを追加することを願っています。これにより、Google や他のユーザーは新しい脅威に迅速に対応できます。
Paranoid プロジェクトには、ECDSA 署名と RSA および EC 公開鍵のチェックが含まれており、Google セキュリティ チームによって積極的に管理されています。このプロジェクトは、コンピューティング リソースの使用を容易にすることも目的としています。検査は、多数のアーティファクトに対して実行するのに十分な速さである必要があり、実際の運用環境で意味のあるものでなければなりません。
プロジェクトアドレス: https://github.com/google/paranoid_crypto