Τα μέλη της Ομάδας Ασφαλείας της Google δημοσίευσαν μια βιβλιοθήκη ανοιχτού κώδικα, την Paranoid, σχεδιασμένη να εντοπίζει αδύναμα κρυπτογραφικά τεχνουργήματα, όπως δημόσια κλειδιά και ψηφιακές υπογραφές, που δημιουργούνται σε ευάλωτα συστήματα υλικού (HSM) και λογισμικού. Ο κώδικας είναι γραμμένος σε Python και διανέμεται με την άδεια Apache 2.0.
Το έργο μπορεί να είναι χρήσιμο για την έμμεση αξιολόγηση της χρήσης αλγορίθμων και βιβλιοθηκών που έχουν γνωστά κενά και τρωτά σημεία που επηρεάζουν την αξιοπιστία των δημιουργούμενων κλειδιών και των ψηφιακών υπογραφών, εάν τα τεχνουργήματα που επαληθεύονται δημιουργούνται από υλικό που δεν μπορεί να επαληθευτεί ή από κλειστά στοιχεία που αντιπροσωπεύουν μαύρο κουτί. Η βιβλιοθήκη μπορεί επίσης να αναλύσει σύνολα ψευδοτυχαίων αριθμών για την αξιοπιστία της γεννήτριας τους και από μια μεγάλη συλλογή τεχνουργημάτων, να εντοπίσει προηγουμένως άγνωστα προβλήματα που προκύπτουν από σφάλματα προγραμματισμού ή τη χρήση αναξιόπιστων γεννητριών ψευδοτυχαίων αριθμών.
Κατά τη χρήση της προτεινόμενης βιβλιοθήκης για τον έλεγχο των περιεχομένων του δημόσιου αρχείου καταγραφής CT (Certificate Transparency), το οποίο περιλαμβάνει πληροφορίες για περισσότερα από 7 δισεκατομμύρια πιστοποιητικά, δεν βρέθηκαν προβληματικά δημόσια κλειδιά που βασίζονται σε ελλειπτικές καμπύλες (EC) και ψηφιακές υπογραφές με βάση τον αλγόριθμο ECDSA , αλλά βρέθηκαν προβληματικά δημόσια κλειδιά με βάση τον αλγόριθμο RSA. Συγκεκριμένα, εντοπίστηκαν 3586 μη αξιόπιστα κλειδιά που δημιουργήθηκαν από κώδικα με την μη διορθωμένη ευπάθεια CVE-2008-0166 στο πακέτο OpenSSL για το Debian, 2533 κλειδιά που σχετίζονται με την ευπάθεια CVE-2017-15361 στη βιβλιοθήκη Infineon με κλειδί 1860 και ευπάθεια που σχετίζεται με την αναζήτηση του μεγαλύτερου κοινού διαιρέτη (GCD). Πληροφορίες σχετικά με προβληματικά πιστοποιητικά που παραμένουν σε χρήση έχουν σταλεί στις αρχές πιστοποίησης για ανάκλησή τους.
Πηγή: opennet.ru