Удзельнікі Google Security Team апублікавалі адкрытую бібліятэку Paranoid, прызначаную для выяўлення ненадзейных крыптаграфічных артэфактаў, такіх як адкрытыя ключы і лічбавыя подпісы, створаных ва ўразлівых апаратных (HSM) і праграмных сістэмах. Код напісаны на мове Python і распаўсюджваецца пад ліцэнзіяй Apache 2.0.
Праект можа апынуцца карысны для ўскоснай адзнакі ўжывання алгарытмаў і бібліятэк, у якіх маюцца вядомыя праломы і ўразлівасці, якія ўплываюць на надзейнасць фармаваных ключоў і лічбавых подпісаў, калі правяраныя артэфакты генеруюцца недаступнымі для праверкі апаратным забеспячэннем або зачыненымі кампанентамі, уяўлялымі сабой чорная скрыня. Бібліятэка таксама можа аналізаваць наборы псеўдавыпадковых лікаў на прадмет надзейнасці іх генератара, і па вялікай калекцыі артэфактаў выяўляць невядомыя раней праблемы, якія ўзнікаюць з-за памылак пры праграмаванні або выкарыстанні ненадзейных генератараў псеўдавыпадковых лікаў.
Пры праверцы пры дапамозе прапанаванай бібліятэкі змесціва публічнага лога CT (Certificate Transparency), які ўключае звесткі аб больш за 7 мільярдах сертыфікатаў, не выяўлена праблемных адкрытых ключоў на аснове эліптычных крывых (EC) і лічбавых подпісаў на базе алгарытму ECDSA, але знойдзены праблемныя адкрытыя ключы на базе алгарытму RSA. У прыватнасці, выяўлена 3586 ненадзейных ключоў, згенераваных кодам з невыпраўленай уразлівасцю CVE-2008-0166 у OpenSSL-пакеце для Debian, 2533 ключоў, звязаных з уразлівасцю CVE-2017-15361 у бібліятэцы Infineon, і агульнага дзельніка (GCD). Інфармацыя аб якія застаюцца ва ўжытку праблемных сертыфікатах накіравана якія сведчаць цэнтрам для іх водгуку.
Крыніца: opennet.ru