Medlemmer af Googles sikkerhedsteam har udgivet et open source-bibliotek, Paranoid, designet til at identificere svage kryptografiske artefakter, såsom offentlige nøgler og digitale signaturer, skabt i sårbar hardware (HSM) og softwaresystemer. Koden er skrevet i Python og distribueret under Apache 2.0-licensen.
Projektet kan være nyttigt til indirekte at vurdere brugen af algoritmer og biblioteker, der har kendte huller og sårbarheder, der påvirker pålideligheden af genererede nøgler og digitale signaturer, hvis de artefakter, der verificeres, er genereret af utilgængelig hardware eller lukkede komponenter, der er en sort boks. Biblioteket kan også analysere sæt af pseudotilfældige tal for pålideligheden af deres generator og ud fra en stor samling af artefakter identificere hidtil ukendte problemer, der opstår som følge af programmeringsfejl eller brugen af upålidelige pseudorandom-talgeneratorer.
Ved brug af det foreslåede bibliotek til at kontrollere indholdet af den offentlige CT (Certificate Transparency) log, som indeholder oplysninger om mere end 7 milliarder certifikater, blev der ikke fundet problematiske offentlige nøgler baseret på elliptiske kurver (EC) og digitale signaturer baseret på ECDSA-algoritmen , men der blev fundet problematiske offentlige nøgler baseret på RSA-algoritmen. Der blev især identificeret 3586 nøgler, der ikke er tillid til, der blev genereret af kode med den uløste sårbarhed CVE-2008-0166 i OpenSSL-pakken til Debian, 2533 nøgler forbundet med sårbarheden CVE-2017-15361 i Infineon-biblioteket og 1860 nøgler med a. sårbarhed forbundet med søgen efter den største fælles divisor (GCD). Oplysninger om problematiske certifikater, der forbliver i brug, er blevet sendt til certificeringsmyndigheder med henblik på tilbagekaldelse.
Kilde: opennet.ru