Yapay Zeka Kriptografi Güvenlik Açıklarını Buluyor: Cloudflare CIRCL'de 7 Kritik Hata Keşfedildi Yazılım

Yapay Zeka Kriptografi Güvenlik Açıklarını Buluyor: Cloudflare CIRCL'de 7 Kritik Hata Keşfedildi

zkSecurity'nin AI denetim aracı, Cloudflare'in CIRCL kütüphanesinde 7 gerçek güvenlik açığı tespit etti. Kritik hatalar arasında float64 hassasiyet ka

Yapay zeka destekli güvenlik denetimleri, kriptografi dünyasında yeni bir çığır açıyor. zkSecurity ekibi, geliştirdikleri zkao adlı AI denetim aracıyla Cloudflare'in deneysel kriptografi kütüphanesi CIRCL'de 7 farklı güvenlik açığı keşfetti. Bu hatalar arasında threshold RSA'da kritik bir float64 hassasiyet kaybı ve öznitelik tabanlı şifrelemede tam bir erişim kontrol ihlali bulunuyor. Tüm hatalar, Cloudflare tarafından onaylanarak düzeltildi ve çoğu HackerOne üzerinden ödül kazandı.

zkSecurity'nin amacı, sürekli olarak kodu tarayan ve diğer AI araçlarının bulamadığı hataları tespit eden otonom bir denetçi oluşturmak. zkao'nun geliştirilmesi, güvenlik araştırmacılarının uzmanlığının sistematik olarak kodlanması, en yeni ve en ciddi güvenlik açıklarını tespit edebilmesi ve sürekli deneylerle modellerin nasıl geliştiğini anlamayı içeriyor. Bu süreçte elde edilen bulgular, sadece ürün için değil, AI'ın kriptografi hakkında nasıl akıl yürüttüğüne dair önemli içgörüler sağlıyor.

Keşfedilen hatalardan ilki, threshold RSA uygulamasında float64 kullanımından kaynaklanan hassasiyet kaybıydı. Shamir tipi sır paylaşımında polinom değerlendirmesi için kullanılan float64, 53 bitlik mantis sınırı nedeniyle büyük üslerde yanlış sonuçlar üretiyordu. Bu durum, imza birleştirme işlemlerinin başarısız olmasına veya yanlış anahtarların oluşturulmasına yol açıyordu. Cloudflare, pratikte düşük olasılıkla karşılaşıldığı gerekçesiyle bu hatayı Düşük önem derecesiyle sınıflandırsa da, AI bunu Kritik olarak işaretlemişti.

Sonuç ve Değerlendirme

Bir diğer önemli hata ise DLEQ ispat sisteminde bulundu. Saldırgan tarafından kontrol edilebilen bir güvenlik parametresi (SecParam), ispatın doğrulama sürecini manipüle etmeye olanak tanıyordu. SecParam değerini 1 olarak ayarlayan bir saldırgan, zorluğu tek bir bit seviyesine indirgeyerek sahte ispatlar oluşturabiliyordu. Bu, imza sistemlerini tamamen devre dışı bırakabilecek bir güvenlik açığıydı. Her iki hata da AI denetim aracının, insan denetimli doğrulama süreciyle birlikte nasıl etkili sonuçlar üretebildiğini gösteriyor.

Paylaş: