2025-11-15T18:46:12.059559

A Toolchain for Assisting Migration of Software Executables Towards Post-Quantum Cryptography

Rattanavipanon, Suaboot, Werapun

Quantum computing poses a significant global threat to today's security mechanisms. As a result, security experts and public sectors have issued guidelines to help organizations migrate their software to post-quantum cryptography (PQC). Despite these efforts, there is a lack of (semi-)automatic tools to support this transition especially when software is used and deployed as binary executables. To address this gap, in this work, we first propose a set of requirements necessary for a tool to detect quantum-vulnerable software executables. Following these requirements, we introduce QED: a toolchain for Quantum-vulnerable Executable Detection. QED uses a three-phase approach to identify quantum-vulnerable dependencies in a given set of executables, from file-level to API-level, and finally, precise identification of a static trace that triggers a quantum-vulnerable API. We evaluate QED on both a synthetic dataset with four cryptography libraries and a real-world dataset with over 200 software executables. The results demonstrate that: (1) QED discerns quantum-vulnerable from quantum-safe executables with 100% accuracy in the synthetic dataset; (2) QED is practical and scalable, completing analyses on average in less than 4 seconds per real-world executable; and (3) QED reduces the manual workload required by analysts to identify quantum-vulnerable executables in the real-world dataset by more than 90%. We hope that QED can become a crucial tool to facilitate the transition to PQC, particularly for small and medium-sized businesses with limited resources.

academic

पोस्ट-क्वांटम क्रिप्टोग्राफी की ओर सॉफ्टवेयर एक्सीक्यूटेबल्स के माइग्रेशन के लिए एक टूलचेन

बुनियादी जानकारी

पेपर ID: 2409.07852
शीर्षक: A Toolchain for Assisting Migration of Software Executables Towards Post-Quantum Cryptography
लेखक: नोरराथेप रट्टानविपानोन, जकपान सुआबूट, वारोडोम वेरापुन (प्रिंस ऑफ सोंगखला विश्वविद्यालय)
वर्गीकरण: cs.CR (क्रिप्टोग्राफी और सुरक्षा)
प्रकाशन स्थिति: IEEE ACCESS जर्नल में प्रस्तुत
पेपर लिंक: https://arxiv.org/abs/2409.07852

सारांश

क्वांटम कंप्यूटिंग आज की सुरक्षा तंत्र के लिए एक महत्वपूर्ण वैश्विक खतरा है। हालांकि सुरक्षा विशेषज्ञों और सार्वजनिक क्षेत्र ने संगठनों को पोस्ट-क्वांटम क्रिप्टोग्राफी (PQC) में सॉफ्टवेयर माइग्रेट करने में सहायता के लिए दिशानिर्देश जारी किए हैं, लेकिन इस रूपांतरण का समर्थन करने के लिए (अर्ध)स्वचालित उपकरणों की कमी है, विशेष रूप से जब सॉफ्टवेयर बाइनरी एक्सीक्यूटेबल्स के रूप में तैनात होता है। इस समस्या को हल करने के लिए, यह पेपर पहले क्वांटम-कमजोर सॉफ्टवेयर एक्सीक्यूटेबल्स का पता लगाने वाले उपकरणों की आवश्यक आवश्यकताओं को प्रस्तावित करता है। इन आवश्यकताओं के आधार पर, QED: क्वांटम-कमजोर एक्सीक्यूटेबल्स डिटेक्शन टूलचेन पेश किया गया है। QED दिए गए एक्सीक्यूटेबल्स के सेट में क्वांटम-कमजोर निर्भरताओं की पहचान करने के लिए एक तीन-चरणीय दृष्टिकोण अपनाता है, फ़ाइल स्तर से API स्तर तक, अंत में क्वांटम-कमजोर API को ट्रिगर करने वाले स्थिर ट्रेस की सटीक पहचान करता है। मूल्यांकन परिणाम दिखाते हैं: (1) QED सिंथेटिक डेटासेट पर 100% सटीकता के साथ क्वांटम-कमजोर और क्वांटम-सुरक्षित एक्सीक्यूटेबल्स को अलग करता है; (2) QED व्यावहारिक और स्केलेबल है, वास्तविक दुनिया के एक्सीक्यूटेबल्स के विश्लेषण को औसतन 4 सेकंड से कम में पूरा करता है; (3) QED विश्लेषकों द्वारा क्वांटम-कमजोर एक्सीक्यूटेबल्स की पहचान के लिए आवश्यक मैनुअल कार्य को 90% से अधिक कम करता है।

अनुसंधान पृष्ठभूमि और प्रेरणा

समस्या परिभाषा

क्वांटम कंप्यूटिंग तकनीक के तीव्र विकास के साथ, 1998 में 2 क्वांटम बिट्स से वर्तमान में 1000 से अधिक क्वांटम बिट्स तक, विशेषज्ञों का अनुमान है कि बड़े पैमाने पर कार्यात्मक क्वांटम कंप्यूटर आने वाले बीस वर्षों में व्यावसायीकृत होंगे। क्वांटम कंप्यूटर वर्तमान में व्यापक रूप से उपयोग की जाने वाली सार्वजनिक-कुंजी क्रिप्टोग्राफी प्रणालियों को तोड़ सकते हैं, जैसे RSA (4098 तार्किक क्वांटम बिट्स की आवश्यकता) और अंडाकार वक्र क्रिप्टोग्राफी (2330 तार्किक क्वांटम बिट्स की आवश्यकता)।

महत्व

क्वांटम हमले के खतरे के प्रति वैश्विक जागरूकता बढ़ रही है, NIST जैसी संस्थाएं संगठनों को क्वांटम-तैयार टीमें स्थापित करने की सलाह देती हैं, सॉफ्टवेयर सिस्टम को पोस्ट-क्वांटम क्रिप्टोग्राफी में माइग्रेट करने की तैयारी करने के लिए। इसमें शामिल हैं:

संगठन के भीतर क्रिप्टोग्राफी के उपयोग का मूल्यांकन करने के लिए क्रिप्टोग्राफी सूची बनाना
इन सूचियों के आधार पर जोखिम मूल्यांकन करना

मौजूदा तरीकों की सीमाएं

विशेष उपकरणों की कमी: वर्तमान में PQC माइग्रेशन कार्य में सहायता के लिए विशेष रूप से डिज़ाइन किए गए (अर्ध)स्वचालित उपकरण नहीं हैं
मैनुअल विश्लेषण का बोझ: विश्लेषकों को क्वांटम-कमजोर सॉफ्टवेयर सिस्टम की पहचान करने के लिए विभिन्न बिखरे हुए उपकरणों और मैनुअल विश्लेषण पर निर्भर रहना चाहिए
बाइनरी विश्लेषण चुनौतियां: विश्लेषकों के पास आमतौर पर स्रोत कोड तक पहुंच नहीं होती है, उन्हें प्रोग्राम बाइनरी फ़ाइलों के आधार पर PQC माइग्रेशन करना चाहिए
लागत समस्या: उच्च स्तरीय बाइनरी विश्लेषण ज्ञान की आवश्यकता होती है, जो बजट, समय और मानव संसाधन लागत को बढ़ाता है

अनुसंधान प्रेरणा

इन चुनौतियों के समाधान के लिए, विशेष रूप से छोटे और मध्यम आकार के उद्यमों के लिए PQC माइग्रेशन के लिए संसाधनों की कमी की समस्या, यह पेपर विश्लेषकों के कार्य बोझ को कम करने के लिए एक स्वचालित उपकरण विकसित करने का लक्ष्य रखता है।

मुख्य योगदान

आवश्यकताओं का निर्माण: सॉफ्टवेयर एक्सीक्यूटेबल्स के PQC माइग्रेशन में सहायता के लिए उपकरणों की आवश्यकताओं का पहली बार व्यवस्थित रूप से निर्माण
QED टूलचेन: प्रस्तावित आवश्यकताओं को पूरा करने वाले QED टूलचेन का डिज़ाइन और कार्यान्वयन, ओपन-सोर्स कोड सार्वजनिक रूप से जारी किया गया है
अनुभवजन्य सत्यापन: सिंथेटिक और वास्तविक दुनिया के डेटासेट पर QED की सटीकता और दक्षता का सत्यापन, 100% सच सकारात्मक दर प्राप्त करना और 90% से अधिक मैनुअल कार्य को कम करना
व्यावहारिक मूल्य: संसाधन-सीमित छोटे और मध्यम आकार के उद्यमों के लिए महत्वपूर्ण PQC माइग्रेशन सहायता उपकरण प्रदान करना

विधि विवरण

कार्य परिभाषा

सॉफ्टवेयर एक्सीक्यूटेबल्स के एक दिए गए सेट को देखते हुए, QED का लक्ष्य क्वांटम-कमजोर (QV) एक्सीक्यूटेबल्स की पहचान करना है। एक सॉफ्टवेयर एक्सीक्यूटेबल को QV के रूप में परिभाषित किया जाता है, यदि और केवल यदि इसके प्रवेश बिंदु (मुख्य फ़ंक्शन) से QV एल्गोरिदम (जैसे RSA, Diffie-Hellman, अंडाकार वक्र डिजिटल हस्ताक्षर) को लागू करने वाले क्रिप्टोग्राफी लाइब्रेरी API के बीच कम से कम एक संभावित निष्पादन पथ मौजूद हो।

उपकरण आवश्यकताएं (R1-R5)

R1 गतिशील लिंकिंग: गतिशील लिंकिंग के माध्यम से QV API का उपयोग करने वाले एक्सीक्यूटेबल्स की पहचान करने में सक्षम होना चाहिए
R2 बाइनरी-स्तरीय विश्लेषण: स्रोत कोड की उपलब्धता पर निर्भर नहीं
R3 स्थिर विशेषताएं: केवल स्थिर विशेषताओं का उपयोग, रनटाइम निष्पादन ट्रेस की आवश्यकता नहीं
R4 स्केलेबिलिटी: बड़ी संख्या में सॉफ्टवेयर एक्सीक्यूटेबल्स के विश्लेषण का समर्थन, उचित समय में पूरा करना
R5 प्रभावशीलता: कोई झूठी नकारात्मक नहीं, कुछ झूठी सकारात्मकों को सहन करना

मॉडल आर्किटेक्चर

QED एक तीन-चरणीय क्रमिक विश्लेषण आर्किटेक्चर अपनाता है:

चरण एक: फ़ाइल-स्तरीय निर्भरता विश्लेषण (P1)

उद्देश्य: QV क्रिप्टोग्राफी लाइब्रेरी पर निर्भरता वाले एक्सीक्यूटेबल्स की पहचान करना

विधि:

सॉफ्टवेयर निर्भरता ग्राफ G₁ = (V₁, E₁) का निर्माण, जहां V₁ फ़ाइलों का सेट है, E₁ प्रत्यक्ष निर्भरताएं हैं
गहराई-प्रथम खोज के माध्यम से सभी निर्भरताओं की खोज करना
V₁ में QV क्रिप्टोग्राफी लाइब्रेरी का पता लगाना
क्रिप्टोग्राफी लाइब्रेरी के साथ कोई निर्भरता न रखने वाले नोड्स को हटाना

आउटपुट: फ़ाइल-स्तरीय निर्भरता पथ EV₁

चरण दो: API-स्तरीय निर्भरता विश्लेषण (P2)

उद्देश्य: P1 में झूठी सकारात्मकों को कम करना, API-स्तरीय निर्भरता संबंधों का विश्लेषण करना

विधि:

API निर्भरता ग्राफ G₂ = (V₂, E₂) का निर्माण, E₂ में तीन-गुना (n₁, n₂, apis) शामिल हैं
पूर्ववर्ती नोड्स में QV API के लिए फ़ंक्शन कॉल शामिल हैं या नहीं यह जांचना
QV API कॉल न रखने वाले किनारों को हटाना
प्रत्येक किनारे में API-स्तरीय निर्भरता जानकारी को एम्बेड करना

आउटपुट: QV API जानकारी के साथ निर्भरता पथ EV₂

चरण तीन: स्थिर ट्रेस विश्लेषण (P3)

उद्देश्य: QV परिभाषा के अनुरूप एक्सीक्यूटेबल्स की सटीक पहचान करना

विधि:

पहुंच्यता विश्लेषण के लिए स्थिर कॉल ग्राफ का निर्माण
एक्सीक्यूटेबल प्रवेश बिंदु से QV API तक निष्पादन पथ की पुष्टि करना
सामान्य और रूढ़िवादी मोड का समर्थन करना
- सामान्य मोड: लापता निष्पादन ट्रेस सीधे गैर-QV को दर्शाता है
- रूढ़िवादी मोड: लापता ट्रेस को संभावित झूठी नकारात्मक के रूप में मानना

आउटपुट: स्थिर निष्पादन ट्रेस EV₃

तकनीकी नवाचार बिंदु

क्रमिक विश्लेषण रणनीति: मोटे-दाने से बारीक-दाने तक तीन-चरणीय विश्लेषण, गति और सटीकता को संतुलित करना
API नाम जानकारी का उपयोग: API नाम जानकारी के आधार पर क्रिप्टोग्राफी उपयोग का पता लगाना, कंपाइलर अनुकूलन के कारण झूठी नकारात्मकों से बचना
गतिशील लिंकिंग समर्थन: गतिशील लिंकिंग के माध्यम से क्रिप्टोग्राफी लाइब्रेरी का उपयोग करने वाले परिदृश्यों को विशेष रूप से संभालना
लचीले विश्लेषण मोड: सामान्य और रूढ़िवादी दोनों मोड प्रदान करना, विश्लेषकों को आवश्यकता के अनुसार चुनने की अनुमति देना

प्रायोगिक सेटअप

डेटासेट

सिंथेटिक डेटासेट

क्रिप्टोग्राफी लाइब्रेरीज: OpenSSL v1.1.1, OpenSSL v3.3.1, MbedTLS v2.28.8, wolfSSL v5.7.2
क्रिप्टोग्राफी आदिम: SHA-512, AES-256, Diffie-Hellman, RSA, ECDSA (अंतिम तीन QV हैं)
प्रत्यक्ष निर्भरता सेट: 20 एक्सीक्यूटेबल्स (12 QV, 8 गैर-QV)
अप्रत्यक्ष निर्भरता सेट: 20 एक्सीक्यूटेबल्स (12 QV, 8 गैर-QV)
कुल: 40 एक्सीक्यूटेबल्स (24 QV, 16 गैर-QV)

वास्तविक दुनिया का डेटासेट

Coreutils: 109 गैर-क्रिप्टोग्राफी सॉफ्टवेयर (गैर-QV)
UnixBench: 18 प्रदर्शन बेंचमार्क उपकरण (गैर-QV)
नेटवर्क: 13 नेटवर्क उपकरण प्रोग्राम (7 QV, 6 गैर-QV)
tpm2-tools: 86 TPM कार्यक्षमता कार्यान्वयन उपकरण
कुल: 226 एक्सीक्यूटेबल्स, औसत आकार 248KB

मूल्यांकन मेट्रिक्स

सच सकारात्मक दर (TPR): QV एक्सीक्यूटेबल्स की सही पहचान का अनुपात
सच नकारात्मक दर (TNR): गैर-QV एक्सीक्यूटेबल्स की सही पहचान का अनुपात
रन टाइम: प्रत्येक चरण के विश्लेषण के लिए आवश्यक समय
मेमोरी उपयोग: पीक RAM उपयोग
मैनुअल कार्य में कमी: आगे के मैनुअल समीक्षा की आवश्यकता वाली फ़ाइलों की संख्या

कार्यान्वयन विवरण

प्रोग्रामिंग भाषा: Python3 (लगभग 800 लाइनें कोड)
निर्भरता लाइब्रेरीज: pyelftools (ELF फ़ाइल प्रसंस्करण), NetworkX (ग्राफ संचालन), angr (स्थिर कॉल ग्राफ निर्माण)
प्रायोगिक वातावरण: Ubuntu 20.04, Intel i5-8520U @ 1.6GHz, 24GB RAM

प्रायोगिक परिणाम

मुख्य परिणाम

सिंथेटिक डेटासेट सटीकता

चरण	प्रत्यक्ष निर्भरता	अप्रत्यक्ष निर्भरता	कुल
P1	TPR: 100%, TNR: 0%	TPR: 100%, TNR: 0%	TPR: 100%, TNR: 0%
P1+P2	TPR: 100%, TNR: 100%	TPR: 100%, TNR: 0%	TPR: 100%, TNR: 50%
P1+P2+P3	TPR: 100%, TNR: 100%	TPR: 100%, TNR: 100%	TPR: 100%, TNR: 100%

वास्तविक दुनिया के डेटासेट प्रदर्शन

औसत प्रसंस्करण समय: प्रति एक्सीक्यूटेबल लगभग 4 सेकंड
कुल प्रसंस्करण समय: 226 एक्सीक्यूटेबल्स के लिए लगभग 15 मिनट
मेमोरी उपयोग: P1 और P2 के लिए लगभग 180MB, P3 के लिए लगभग 3-5GB
मैनुअल कार्य में कमी: 226 से 20 तक कम (91.15% कमी)

विलोपन प्रयोग

P1 चरण: तेजी से प्रारंभिक स्क्रीनिंग, लेकिन उच्च झूठी सकारात्मक दर
P2 चरण: झूठी सकारात्मकों में महत्वपूर्ण कमी, विशेष रूप से प्रत्यक्ष निर्भरता परिदृश्य के लिए
P3 चरण: सटीकता में और सुधार, लेकिन बड़ी कम्प्यूटेशनल ओवरहेड

केस विश्लेषण

झूठी नकारात्मक केस: curl प्रोग्राम अप्रत्यक्ष कॉल (फ़ंक्शन पॉइंटर) के उपयोग के कारण स्थिर कॉल ग्राफ विश्लेषण विफल
झूठी सकारात्मक उन्मूलन: sftp और scp प्रोग्राम OpenSSL से जुड़े हैं लेकिन केवल गैर-QV API का उपयोग करते हैं

प्रायोगिक निष्कर्ष

क्रमिक विश्लेषण प्रभावी: तीन-चरणीय डिज़ाइन गति और सटीकता को सफलतापूर्वक संतुलित करता है
स्थिर विश्लेषण सीमाएं: अप्रत्यक्ष कॉल अभी भी स्थिर विश्लेषण के लिए एक चुनौती हैं
व्यावहारिकता सत्यापन: उपकरण वास्तविक वातावरण में अच्छा प्रदर्शन करता है, मैनुअल कार्य को महत्वपूर्ण रूप से कम करता है

निष्कर्ष और चर्चा

मुख्य निष्कर्ष

QED सभी पांच डिज़ाइन आवश्यकताओं (R1-R5) को सफलतापूर्वक पूरा करता है
सिंथेटिक डेटासेट पर 100% सटीकता प्राप्त करता है
वास्तविक दुनिया के डेटासेट पर मैनुअल कार्य को महत्वपूर्ण रूप से कम करता है
उपकरण अच्छी स्केलेबिलिटी और व्यावहारिकता प्रदर्शित करता है

सीमाएं

अप्रत्यक्ष कॉल पहचान: स्थिर विश्लेषण फ़ंक्शन पॉइंटर के माध्यम से QV API उपयोग का पता नहीं लगा सकता
लिंकिंग विधि प्रतिबंध: मानता है कि एक्सीक्यूटेबल्स गतिशील लिंकिंग के माध्यम से क्रिप्टोग्राफी लाइब्रेरी का उपयोग करते हैं
डेड कोड समस्या: कभी निष्पादित न होने वाली QV API कॉल को सकारात्मक के रूप में चिह्नित कर सकता है

भविष्य की दिशाएं

हल्के गतिशील विश्लेषण: अप्रत्यक्ष कॉल की पहचान के लिए गतिशील विश्लेषण को जोड़ना
स्थिर लिंकिंग समर्थन: सीधे कार्यान्वित या स्थिर रूप से जुड़ी क्रिप्टोग्राफी कार्यक्षमता की पहचान का विस्तार
स्वचालित पैचिंग: पहचान से (अर्ध)स्वचालित पैचिंग तक विस्तार

गहन मूल्यांकन

शक्तियां

समस्या की महत्ता: PQC माइग्रेशन में व्यावहारिक दर्द बिंदु को हल करता है
व्यवस्थित दृष्टिकोण: आवश्यकता विश्लेषण से उपकरण कार्यान्वयन तक पूर्ण प्रक्रिया
तकनीकी नवाचार: तीन-चरणीय क्रमिक विश्लेषण रणनीति डिज़ाइन तर्कसंगत है
व्यावहारिक मूल्य: ओपन-सोर्स उपकरण छोटे और मध्यम आकार के उद्यमों के लिए महत्वपूर्ण है
व्यापक प्रयोग: सिंथेटिक और वास्तविक डेटासेट सत्यापन व्यापक है

कमियां

प्लेटफॉर्म सीमाएं: वर्तमान में केवल Linux ELF प्रारूप का समर्थन करता है, विस्तार सीमित है
भाषा सीमाएं: मुख्य रूप से C/C++ प्रोग्राम के लिए
स्थिर विश्लेषण सीमाएं: अप्रत्यक्ष कॉल और डेड कोड विश्लेषण अपर्याप्त है
मूल्यांकन सीमा: वास्तविक डेटासेट में कुछ प्रोग्राम में ground truth की कमी है

प्रभाव

शैक्षणिक योगदान: PQC माइग्रेशन उपकरण अनुसंधान में खाली स्थान को भरता है
व्यावहारिक मूल्य: संगठन PQC माइग्रेशन के लिए व्यावहारिक उपकरण प्रदान करता है
पुनरुत्पादनीयता: ओपन-सोर्स कोड और डेटासेट परिणाम पुनरुत्पादन का समर्थन करते हैं
प्रचार संभावना: विधि अन्य प्लेटफॉर्म और भाषाओं तक विस्तारित की जा सकती है

लागू परिदृश्य

एंटरप्राइज PQC माइग्रेशन जोखिम मूल्यांकन
सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा ऑडिट
क्रिप्टोग्राफी निर्भरता विश्लेषण
सुरक्षा अनुपालन जांच

संदर्भ

पेपर 42 संबंधित संदर्भों का हवाला देता है, जो क्वांटम कंप्यूटिंग विकास, PQC माइग्रेशन दिशानिर्देश, क्रिप्टोग्राफी पहचान उपकरण, बाइनरी विश्लेषण और अन्य कई क्षेत्रों के महत्वपूर्ण कार्यों को कवर करते हैं, जो अनुसंधान के लिए एक ठोस सैद्धांतिक आधार प्रदान करते हैं।

समग्र मूल्यांकन: यह पेपर पोस्ट-क्वांटम क्रिप्टोग्राफी माइग्रेशन की इस महत्वपूर्ण समस्या के लिए एक व्यवस्थित समाधान प्रस्तावित करता है। QED टूलचेन का डिज़ाइन तर्कसंगत है, प्रायोगिक सत्यापन व्यापक है, और इसमें महत्वपूर्ण शैक्षणिक मूल्य और व्यावहारिक महत्व है। हालांकि कुछ तकनीकी सीमाएं हैं, लेकिन यह PQC माइग्रेशन क्षेत्र में महत्वपूर्ण योगदान देता है, विशेष रूप से संसाधन-सीमित छोटे और मध्यम आकार के उद्यमों के लिए एक व्यावहारिक समाधान प्रदान करता है।