Google публикува библиотека за идентифициране на проблемни криптографски ключове

Членовете на екипа по сигурността на Google публикуваха библиотека с отворен код, Paranoid, предназначена да идентифицира слаби криптографски артефакти, като публични ключове и цифрови подписи, създадени в уязвими хардуерни (HSM) и софтуерни системи. Кодът е написан на Python и се разпространява под лиценза Apache 2.0.

Проектът може да бъде полезен за косвено оценяване на използването на алгоритми и библиотеки, които имат известни пропуски и уязвимости, които влияят на надеждността на генерираните ключове и цифрови подписи, ако артефактите, които се проверяват, са генерирани от недостъпен хардуер или затворени компоненти, които са черна кутия. Библиотеката може също така да анализира набори от псевдослучайни числа за надеждността на техния генератор и от голяма колекция от артефакти да идентифицира неизвестни преди това проблеми, произтичащи от грешки в програмирането или използването на ненадеждни генератори на псевдослучайни числа.

При проверка на съдържанието на публичния CT (Certificate Transparency) лог, който включва информация за над 7 милиарда сертификата, използвайки предложената библиотека, не бяха открити проблемни публични ключове, базирани на елиптични криви (EC), или цифрови подписи, базирани на алгоритъма ECDSA, но бяха открити проблемни публични ключове, базирани на алгоритъма RSA. По-конкретно, бяха идентифицирани 3586 слаби ключа, генерирани от код с неотстранена уязвимост CVE-2008-0166 в пакета OpenSSL. Debian, 2533 ключа, свързани с уязвимостта CVE-2017-15361 в библиотеката на Infineon, и 1860 ключа с уязвимост, свързана с търсенето на най-голям общ делител (GCD). Информация за останалите засегнати сертификати е изпратена до сертифициращите органи за анулиране.

Източник: opennet.ru