Les détecteurs de chiffrement prêts à l’emploi donnent une fausse impression de sécurité des données

Les détecteurs de chiffrement prêts à l'emploi donnent une fausse impression de sécurité des données

Les co-auteurs de “Why Crypto-detectors Fail” sont (de gauche à droite) Nathan Cooper, Adwait Nadkarni, Amit Seal Ami, Kaushal Kafle et Denys Poshyvanyk. Nadkarni et Poshyvanyk sont professeurs au département d’informatique de William & Mary. Les autres sont titulaires d’un doctorat. étudiants du département. Ami est l’auteur principal de l’article. (Pas sur la photo, ancien étudiant au doctorat Kevin Moran.). Crédit : Stephen Salpukas

La sécurité des données repose sur l’utilisation d’une cryptographie appropriée et bien exécutée – la science et l’art de construire des algorithmes qui protègent les informations des regards indiscrets et éventuellement malveillants.

“La cryptographie établit des propriétés telles que la confidentialité des informations et l’intégrité des informations”, a déclaré Amit Seal Ami. “Ils sont basés sur des principes mathématiques très stricts. Souvent, les ingénieurs en logiciel ou les programmeurs s’appuient sur des interfaces de programmation d’applications – un peu comme des programmes pré-construits – qu’ils utilisent pour essayer d’obtenir ces propriétés dans les applications.”

Il a expliqué que la dépendance des développeurs à ces interfaces de programmation d’application, ou API, prêtes à l’emploi et à taille unique, entraîne souvent une dérogation aux principes cryptographiques solides et conduit donc à ce que les données confidentielles soient mûres pour être exposées.

“Donc, c’est comme s’ils essayaient de faire les bonnes choses, mais ils le font de manière incorrecte”, a expliqué Ami. “C’est de cela qu’il s’agit. Ensuite, nous avons des détecteurs d’abus de crypto-API, qui sont des outils d’analyse qui nous aident à trouver de tels abus dans les logiciels. Cependant, ces crypto-détecteurs peuvent avoir des défauts. Et si nous ne connaissons pas ces défauts , nous avons un faux sentiment de sécurité.”

Ami est titulaire d’un doctorat. candidat au département d’informatique de William & Mary, et auteur étudiant principal de l’article “Why Crypto-detectors Fail: A Systematic Evaluation of Cryptographic Misuse Detection Techniques”, qu’il a présenté au 43e Symposium sur la sécurité et la confidentialité de l’Institute of Ingénieurs électriciens et électroniciens (IEEE).

Les co-auteurs de l’article incluent les conseillers d’Ami, Adwait Nadkarni et Denys Poshyvanyk, tous deux professeurs du département d’informatique William & Mary, et un trio d’anciens et actuels titulaires d’un doctorat CS. élèves : Nathan Cooper, Kaushal Kafle et Kevin Moran.

Ami, qui a été sélectionné comme boursier du Commonwealth de Virginie en ingénierie et sciences (COVES) en 2022 et a reçu la bourse de thèse du Commonwealth de Virginie, Commonwealth Cyber ​​Initiative (CoVA-CCI) la même année, explique l’état actuel des détecteurs de crypto-API comprend une quantité affligeante de défauts.

“Ce que nous essayons de faire, c’est d’aider les gens à fabriquer de meilleurs détecteurs, c’est-à-dire des détecteurs capables de détecter les abus dans la pratique”, a expliqué Ami.






Crédit: Le Collège de William & Mary

Les collaborateurs ont entrepris de sonder les failles des détecteurs de crypto-API qui ont pour tâche de surveiller et de corriger les faiblesses de sécurité dues à une mauvaise utilisation de la crypto-API. Ils ont établi un cadre qu’ils appellent MASC pour évaluer le fonctionnement pratique d’un certain nombre de détecteurs de crypto-API.

“Ce que nous faisons d’abord, c’est d’examiner ce que nous savons de l’utilisation abusive en premier lieu – la manière dont les crypto-API sont utilisées et mal utilisées”, a déclaré Ami. “Mais quelles sont les autres façons dont ils peuvent être utilisés à mauvais escient?”

À l’aide de MASC, les collaborateurs prennent ces vulnérabilités connues et établies et les modifient, créant des mutations. Ensuite, a déclaré Ami, ils étudient ces mutations à l’aide des détecteurs en cours d’évaluation.

“Et puis nous essayons de voir si les détecteurs peuvent trouver ces cas d’utilisation abusive mutés ou modifiés”, a-t-il déclaré. “Et quand ils ne peuvent pas, nous savons que quelque chose ne va pas là-bas.”

Le framework MASC a révélé des failles dans les détecteurs : “Certaines des vulnérabilités manquées par les détecteurs étaient quelque peu évidentes”, a déclaré Ami. “Mais certains étaient très évidents.”, c’est-à-dire que les détecteurs auraient dû détecter.

Les collaborateurs sont retournés voir les développeurs des détecteurs défectueux pour discuter du pourquoi et du comment du problème des défauts. Ami a dit qu’ils avaient trouvé des différences de points de vue. Certains des développeurs se concentraient sur la technique, travaillant vers un résultat basé sur les normes de conformité de sécurité.

“Ce que nous faisions, en revanche, regardait ces outils d’un point de vue hostile”, a-t-il déclaré. “Parce que quand les gens essaient de profiter des défauts, ils ne vont pas être gentils avec ça.”

Le groupe préconise un changement de paradigme : que les développeurs abandonnent leur approche centrée sur la technique au profit d’une approche plus axée sur la sécurité.

“C’est ce que nous aimerions apporter”, a déclaré Ami. “Tous ces détecteurs, lors de leur développement, devraient passer par une approche de révision hostile, afin que les développeurs puissent rendre leurs outils plus fiables en adoptant notre approche.”


Une nouvelle théorie pour la détection des ondes électromagnétiques térahertz laisse espérer des progrès en informatique et en médecine


Plus d’information:
Amit Seal Ami et al, Why Crypto-detectors Fail: A Systematic Evaluation of Cryptographic Misuse Detection Techniques. arXiv:2107.07065v5 [cs.CR]arxiv.org/abs/2107.07065

Amit Seal Ami et al, Why Crypto-detectors Fail: A Systematic Evaluation of Cryptographic Misuse Detection Techniques, Symposium IEEE 2022 sur la sécurité et la confidentialité (SP) (2022). DOI : 10.1109/SP46214.2022.9833582

Fourni par le Collège William & Mary

Citation: Les détecteurs de chiffrement prêts à l’emploi donnent une fausse impression de sécurité des données (14 septembre 2022) récupéré le 14 septembre 2022 sur https://techxplore.com/news/2022-09-off-the-shelf-crypto-detectors -false.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation loyale à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.