Els membres de l'equip de seguretat de Google han publicat una biblioteca de codi obert, Paranoid, dissenyada per identificar artefactes criptogràfics febles, com ara claus públiques i signatures digitals, creades en sistemes de programari i maquinari vulnerables (HSM). El codi està escrit en Python i es distribueix sota la llicència Apache 2.0.
El projecte pot ser útil per avaluar indirectament l'ús d'algorismes i biblioteques que tenen llacunes i vulnerabilitats conegudes que afecten la fiabilitat de les claus i signatures digitals generades si els artefactes que s'estan verificant són generats per maquinari inaccessible o components tancats que són una caixa negra. La biblioteca també pot analitzar conjunts de nombres pseudoaleatoris per a la fiabilitat del seu generador i, a partir d'una gran col·lecció d'artefactes, identificar problemes desconeguts anteriorment derivats d'errors de programació o l'ús de generadors de nombres pseudoaleatoris poc fiables.
Quan s'utilitza la biblioteca proposada per comprovar el contingut del registre públic CT (Certificate Transparency), que inclou informació sobre més de 7 milions de certificats, no es van trobar claus públiques problemàtiques basades en corbes el·líptiques (EC) i signatures digitals basades en l'algorisme ECDSA. , però es van trobar claus públiques problemàtiques basades en l'algorisme RSA. En particular, es van identificar 3586 claus no fiables que es van generar mitjançant codi amb la vulnerabilitat no fixada CVE-2008-0166 al paquet OpenSSL per a Debian, 2533 claus associades a la vulnerabilitat CVE-2017-15361 a la biblioteca Infineon i 1860 claus amb una vulnerabilitat associada a la recerca del màxim comú divisor (MCD). La informació sobre els certificats problemàtics que continuen en ús s'ha enviat a les autoritats de certificació per a la seva revocació.
Font: opennet.ru