Google Təhlükəsizlik Komandasının üzvləri həssas aparatlarda (HSM) və proqram sistemlərində yaradılmış açıq açarlar və rəqəmsal imzalar kimi zəif kriptoqrafik artefaktları müəyyən etmək üçün nəzərdə tutulmuş Paranoid adlı açıq mənbə kitabxanasını nəşr ediblər. Kod Python-da yazılmışdır və Apache 2.0 lisenziyası altında paylanmışdır.
Layihə, təsdiq edilən artefaktlar yoxlanılması mümkün olmayan aparat və ya qapalı komponentlər tərəfindən yaradılıbsa, yaradılan açarların və rəqəmsal imzaların etibarlılığına təsir edən məlum boşluqları və zəiflikləri olan alqoritmlərin və kitabxanaların istifadəsini dolayı yolla qiymətləndirmək üçün faydalı ola bilər. qara qutu. Kitabxana həmçinin psevdor-təsadüfi nömrələr dəstlərini generatorlarının etibarlılığı üçün təhlil edə və böyük bir artefakt kolleksiyasından proqramlaşdırma səhvləri və ya etibarsız psevdor-təsadüfi ədəd generatorlarının istifadəsi nəticəsində yaranan əvvəllər məlum olmayan problemləri müəyyən edə bilər.
Təklif olunan kitabxanadan 7 milyarddan çox sertifikat haqqında məlumatı özündə əks etdirən CT (Sertifikat Şəffaflığı) ictimai jurnalının məzmununu yoxlamaq üçün istifadə edilərkən, elliptik əyrilərə (EC) əsaslanan problemli açıq açarlar və ECDSA alqoritminə əsaslanan rəqəmsal imzalar aşkar edilməmişdir. , lakin RSA alqoritmi əsasında problemli açıq açarlar tapıldı. Xüsusilə, Debian üçün OpenSSL paketində düzəldilməyən CVE-3586-2008 zəifliyi ilə kod tərəfindən yaradılan 0166 etibarsız açar, Infineon kitabxanasında CVE-2533-2017 zəifliyi ilə əlaqəli 15361 açar və 1860 açar müəyyən edilmişdir. ən böyük ümumi bölən (GCD) axtarışı ilə əlaqəli zəiflik. İstifadədə qalan problemli sertifikatlar haqqında məlumat onların ləğv edilməsi üçün sertifikatlaşdırma orqanlarına göndərilib.
Mənbə: opennet.ru