Mitglieder des Google-Sicherheitsteams haben eine Open-Source-Bibliothek namens Paranoid veröffentlicht, die darauf ausgelegt ist, schwache kryptografische Artefakte wie öffentliche Schlüssel und digitale Signaturen zu identifizieren, die in anfälligen Hardware- (HSM) und Softwaresystemen erstellt wurden. Der Code ist in Python geschrieben und wird unter der Apache 2.0-Lizenz vertrieben.
Das Projekt kann nützlich sein, um indirekt die Verwendung von Algorithmen und Bibliotheken zu bewerten, die bekannte Lücken und Schwachstellen aufweisen, die sich auf die Zuverlässigkeit generierter Schlüssel und digitaler Signaturen auswirken, wenn die zu verifizierenden Artefakte von Hardware generiert werden, die nicht verifiziert werden kann, oder von geschlossenen Komponenten, die eine darstellen Flugschreiber. Die Bibliothek kann auch Sätze von Pseudozufallszahlen auf die Zuverlässigkeit ihres Generators analysieren und aus einer großen Sammlung von Artefakten bisher unbekannte Probleme identifizieren, die durch Programmierfehler oder die Verwendung unzuverlässiger Pseudozufallszahlengeneratoren entstehen.
Bei der Verwendung der vorgeschlagenen Bibliothek zur Überprüfung des Inhalts des öffentlichen Protokolls CT (Certificate Transparency), das Informationen über mehr als 7 Milliarden Zertifikate enthält, wurden keine problematischen öffentlichen Schlüssel auf Basis elliptischer Kurven (EC) und digitale Signaturen auf Basis des ECDSA-Algorithmus gefunden , es wurden jedoch problematische öffentliche Schlüssel auf Basis des RSA-Algorithmus gefunden. Insbesondere wurden 3586 nicht vertrauenswürdige Schlüssel identifiziert, die durch Code mit der nicht behobenen Schwachstelle CVE-2008-0166 im OpenSSL-Paket für Debian generiert wurden, 2533 Schlüssel im Zusammenhang mit der Schwachstelle CVE-2017-15361 in der Infineon-Bibliothek und 1860 Schlüssel mit a Schwachstelle im Zusammenhang mit der Suche nach dem größten gemeinsamen Teiler (GCD). Informationen über problematische Zertifikate, die weiterhin verwendet werden, wurden zur Sperrung an Zertifizierungsstellen gesendet.
Source: opennet.ru