قام أعضاء فريق أمان Google بنشر مكتبة مفتوحة المصدر، Paranoid، مصممة لتحديد أدوات التشفير الضعيفة، مثل المفاتيح العامة والتوقيعات الرقمية، التي تم إنشاؤها في الأجهزة الضعيفة (HSM) وأنظمة البرامج. الكود مكتوب بلغة Python ويتم توزيعه بموجب ترخيص Apache 2.0.
قد يكون المشروع مفيدًا في التقييم غير المباشر لاستخدام الخوارزميات والمكتبات التي لديها ثغرات ونقاط ضعف معروفة تؤثر على موثوقية المفاتيح التي تم إنشاؤها والتوقيعات الرقمية إذا تم إنشاء القطع الأثرية التي يتم التحقق منها بواسطة أجهزة لا يمكن التحقق منها أو بواسطة مكونات مغلقة تمثل صندوق اسود. يمكن للمكتبة أيضًا تحليل مجموعات من الأرقام العشوائية الزائفة للتأكد من موثوقية مولدها، ومن مجموعة كبيرة من القطع الأثرية، تحديد المشكلات غير المعروفة سابقًا والتي تنشأ عن أخطاء البرمجة أو استخدام مولدات أرقام عشوائية زائفة غير موثوقة.
عند استخدام المكتبة المقترحة للتحقق من محتويات السجل العام لشفافية الشهادات (CT)، والذي يتضمن معلومات حول أكثر من 7 مليارات شهادة، لم يتم العثور على مفاتيح عمومية بها مشكلات تعتمد على المنحنيات الإهليلجية (EC) والتوقيعات الرقمية المستندة إلى خوارزمية ECDSA ، ولكن تم العثور على مفاتيح عامة بها مشكلات استنادًا إلى خوارزمية RSA. على وجه الخصوص، تم التعرف على 3586 مفتاحًا غير موثوق به تم إنشاؤها بواسطة تعليمات برمجية تحتوي على الثغرة غير المثبتة CVE-2008-0166 في حزمة OpenSSL لـ Debian، و2533 مفتاحًا مرتبطًا بالثغرة الأمنية CVE-2017-15361 في مكتبة Infineon، و1860 مفتاحًا مع الثغرة الأمنية المرتبطة بالبحث عن القاسم المشترك الأكبر (GCD). تم إرسال معلومات حول الشهادات التي بها مشكلات والتي لا تزال قيد الاستخدام إلى السلطات المصدقة لإبطالها.
المصدر: opennet.ru