Lede van die Google-sekuriteitspan het 'n oopbron-biblioteek, Paranoid, gepubliseer wat ontwerp is om swak kriptografiese artefakte, soos publieke sleutels en digitale handtekeninge, wat in kwesbare hardeware (HSM) en sagtewarestelsels geskep is, te identifiseer. Die kode is in Python geskryf en onder die Apache 2.0-lisensie versprei.
Die projek kan nuttig wees vir die indirek assessering van die gebruik van algoritmes en biblioteke wat bekende gapings en kwesbaarhede het wat die betroubaarheid van gegenereerde sleutels en digitale handtekeninge beïnvloed indien die artefakte wat geverifieer word gegenereer word deur hardeware wat nie geverifieer kan word nie of deur geslote komponente wat 'n swart boks. Die biblioteek kan ook stelle pseudo-willekeurige getalle ontleed vir die betroubaarheid van hul kragopwekker, en uit 'n groot versameling artefakte voorheen onbekende probleme identifiseer wat voortspruit uit programmeringsfoute of die gebruik van onbetroubare pseudo-willekeurige getalgenerators.
Wanneer die voorgestelde biblioteek gebruik word om die inhoud van die CT (Sertifikaat Deursigtigheid) publieke logboek, wat inligting oor meer as 7 miljard sertifikate insluit, na te gaan, is geen problematiese publieke sleutels gebaseer op elliptiese kurwes (EC) en digitale handtekeninge gebaseer op die ECDSA algoritme gevind nie. , maar problematiese publieke sleutels is gevind op grond van die RSA-algoritme. In die besonder is 3586 2008 onvertroude sleutels geïdentifiseer wat deur kode gegenereer is met die onopgeloste kwesbaarheid CVE-0166-2533 in die OpenSSL-pakket vir Debian, 2017 15361 sleutels wat verband hou met die CVE-1860-XNUMX kwesbaarheid in die Infineon-biblioteek, en XNUMX XNUMX sleutels met a. kwesbaarheid wat verband hou met die soeke na die grootste gemene deler (GCD). Inligting oor problematiese sertifikate wat steeds in gebruik is, is aan sertifiseringsowerhede gestuur vir hul herroeping.
Bron: opennet.ru