Članovi Google sigurnosnog tima objavili su biblioteku otvorenog koda, Paranoid, dizajniranu da identificira slabe kriptografske artefakte, kao što su javni ključevi i digitalni potpisi, kreirani u ranjivom hardveru (HSM) i softverskim sistemima. Kod je napisan u Python-u i distribuiran pod licencom Apache 2.0.
Projekt može biti koristan za indirektnu procjenu upotrebe algoritama i biblioteka koje imaju poznate praznine i ranjivosti koje utječu na pouzdanost generiranih ključeva i digitalnih potpisa ako su artefakti koji se provjeravaju generirani hardverom koji se ne može provjeriti ili zatvorenim komponentama koje predstavljaju crna kutija. Biblioteka takođe može analizirati skupove pseudoslučajnih brojeva za pouzdanost njihovog generatora, i iz velike kolekcije artefakata, identifikovati ranije nepoznate probleme koji proizlaze iz programskih grešaka ili upotrebe nepouzdanih generatora pseudoslučajnih brojeva.
Prilikom provjere sadržaja javnog dnevnika CT (Certificate Transparency) korištenjem predložene biblioteke, koja uključuje informacije o više od 7 milijardi certifikata, nisu pronađeni problematični javni ključevi bazirani na eliptičnim krivuljama (EC) i digitalni potpisi bazirani na ECDSA algoritmu, ali problematični javni ključevi su pronađeni na osnovu RSA algoritma. Konkretno, identificirano je 3586 nepouzdanih ključeva koji su generirani kodom s neispravljenom ranjivošću CVE-2008-0166 u OpenSSL paketu za Debian, 2533 ključa povezana s ranjivosti CVE-2017-15361 u biblioteci Infineon i 1860 ključeva ranjivost povezana s potragom za najvećim zajedničkim djeliteljem (GCD). Informacije o problematičnim certifikatima koji su ostali u upotrebi poslani su certifikacijskim tijelima radi njihovog opoziva.
izvor: opennet.ru