Google hat eine Bibliothek zur Identifizierung problematischer kryptografischer Schlüssel veröffentlicht.

Die Mitglieder des Google Security Teams haben die Open-Source-Bibliothek Paranoid veröffentlicht, die dazu dient, unsichere kryptografische Artefakte wie öffentliche Schlüssel und digitale Signaturen zu identifizieren, die in anfälligen Hardware-Sicherheitsmodulen (HSM) und Software-Systemen erstellt wurden. Der Code ist in Python geschrieben und wird unter der Apache 2.0-Lizenz verbreitet.

Das Projekt könnte hilfreich sein, um die Anwendung von Algorithmen und Bibliotheken einzuschätzen, in denen bekannte Sicherheitslücken und Schwachstellen vorhanden sind, die die Zuverlässigkeit der erzeugten Schlüssel und digitalen Signaturen beeinträchtigen, insbesondere wenn die zu prüfenden Artefakte von nicht überprüfbarer Hardware oder geschlossenen Komponenten generiert werden, die einem Black Box-Ansatz entsprechen. Die Bibliothek kann auch Generatorsets von Pseudozufallszahlen auf deren Zuverlässigkeit analysieren und durch eine umfangreiche Sammlung von Artefakten zuvor unbekannte Probleme aufdecken, die aus Programmierfehlern oder der Verwendung unsicherer Pseudozufallszahlengeneratoren resultieren.

Bei der Überprüfung mit der vorgeschlagenen Inhaltsbibliothek des öffentlichen CT-Protokolls (Certificate Transparency), die Informationen über mehr als 7 Milliarden Zertifikate enthält, wurden keine problematischen offenen Schlüssel auf Basis von elliptischen Kurven (EC) und digitalen Signaturen des ECDSA-Algorithmus gefunden. Allerdings wurden problematische offene Schlüssel auf Basis des RSA-Algorithmus festgestellt. Insbesondere wurden 3586 unsichere Schlüssel entdeckt, die durch Code mit einer unbereinigten Schwachstelle (CVE-2008-0166) im OpenSSL-Paket für Debian generiert wurden, 2533 Schlüssel, die mit der Schwachstelle CVE-2017-15361 in der Infineon-Bibliothek in Verbindung stehen, und 1860 Schlüssel mit einer Schwachstelle, die mit der Berechnung des größten gemeinsamen Teilers (GCD) assoziiert ist. Informationen über die weiterhin im Umlauf befindlichen problematischen Zertifikate wurden den Zertifizierungsstellen zur Verfügung gestellt, um deren Widerruf zu veranlassen.

Google hat eine Bibliothek zur Identifizierung problematischer kryptografischer Schlüssel veröffentlicht.


Quelle: opennet.ru
Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster