Google публикува библиотека за идентифициране на проблемни криптографски ключове

Членовете на екипа по сигурността на Google публикуваха библиотека с отворен код, Paranoid, предназначена да идентифицира слаби криптографски артефакти, като публични ключове и цифрови подписи, създадени в уязвими хардуерни (HSM) и софтуерни системи. Кодът е написан на Python и се разпространява под лиценза Apache 2.0.

Проектът може да бъде полезен за косвено оценяване на използването на алгоритми и библиотеки, които имат известни пропуски и уязвимости, които влияят на надеждността на генерираните ключове и цифрови подписи, ако артефактите, които се проверяват, са генерирани от недостъпен хардуер или затворени компоненти, които са черна кутия. Библиотеката може също така да анализира набори от псевдослучайни числа за надеждността на техния генератор и от голяма колекция от артефакти да идентифицира неизвестни преди това проблеми, произтичащи от грешки в програмирането или използването на ненадеждни генератори на псевдослучайни числа.

При проверка на съдържанието на публичния дневник на CT (Certificate Transparency) с помощта на предложената библиотека, която включва информация за повече от 7 милиарда сертификати, не бяха открити проблемни публични ключове, базирани на елиптични криви (EC) и цифрови подписи, базирани на алгоритъма ECDSA, но проблемни публични ключове бяха открити въз основа на алгоритъма RSA. По-специално, идентифицирани са 3586 ненадеждни ключа, които са генерирани от код с нефиксираната уязвимост CVE-2008-0166 в пакета OpenSSL за Debian, 2533 ключа, свързани с уязвимостта CVE-2017-15361 в библиотеката на Infineon, и 1860 ключа с уязвимост, свързана с търсенето на най-големия общ делител (НОД). Информацията за проблемни сертификати, които остават в употреба, е изпратена до сертифициращите органи за тяхното оттегляне.

Източник: opennet.ru