Los miembros del equipo de seguridad de Google han publicado una biblioteca de código abierto, Paranoid, diseñada para identificar artefactos criptográficos débiles, como claves públicas y firmas digitales, creados en sistemas de software y hardware (HSM) vulnerables. El código está escrito en Python y distribuido bajo la licencia Apache 2.0.
El proyecto puede ser útil para evaluar indirectamente el uso de algoritmos y bibliotecas que tienen lagunas y vulnerabilidades conocidas que afectan la confiabilidad de las claves generadas y las firmas digitales si los artefactos que se verifican son generados por hardware que no se puede verificar o por componentes cerrados que representan una caja negra. La biblioteca también puede analizar conjuntos de números pseudoaleatorios para determinar la confiabilidad de su generador y, a partir de una gran colección de artefactos, identificar problemas previamente desconocidos que surgen de errores de programación o el uso de generadores de números pseudoaleatorios no confiables.
При проверке при помощи предложенной библиотеки содержимого публичного лога CT (Certificate Transparency), включающего сведения о более чем 7 миллиардах сертификатов, не выявлено проблемных открытых ключей на основе эллиптических кривых (EC) и цифровых подписей на базе алгоритма ECDSA, но найдены проблемные открытые ключи на базе алгоритма RSA. В частности, выявлено 3586 ненадёжных ключей, сгенерированных кодом с неисправленной уязвимостью CVE-2008-0166 в OpenSSL-пакете для Debian, 2533 ключей, связанных с уязвимостью CVE-2017-15361 в библиотеке Infineon, и 1860 ключей с уязвимостью, связанной с поиском наибольшего общего делителя (GCD). Информация об остающихся в обиходе проблемных сертификатах направлена удостоверяющим центрам для их отзыва.
Fuente: opennet.ru
