Los miembros del equipo de seguridad de Google han publicado una biblioteca de código abierto, Paranoid, diseñada para identificar artefactos criptográficos débiles, como claves públicas y firmas digitales, creados en sistemas de software y hardware (HSM) vulnerables. El código está escrito en Python y distribuido bajo la licencia Apache 2.0.
El proyecto puede ser útil para evaluar indirectamente el uso de algoritmos y bibliotecas que tienen lagunas y vulnerabilidades conocidas que afectan la confiabilidad de las claves generadas y las firmas digitales si los artefactos que se verifican son generados por hardware que no se puede verificar o por componentes cerrados que representan una caja negra. La biblioteca también puede analizar conjuntos de números pseudoaleatorios para determinar la confiabilidad de su generador y, a partir de una gran colección de artefactos, identificar problemas previamente desconocidos que surgen de errores de programación o el uso de generadores de números pseudoaleatorios no confiables.
Al utilizar la biblioteca propuesta para verificar el contenido del registro público CT (Certificate Transparency), que incluye información sobre más de 7 mil millones de certificados, no se encontraron claves públicas problemáticas basadas en curvas elípticas (EC) ni firmas digitales basadas en el algoritmo ECDSA. , pero se encontraron claves públicas problemáticas basadas en el algoritmo RSA. En particular, se identificaron 3586 claves no confiables generadas por código con la vulnerabilidad no reparada CVE-2008-0166 en el paquete OpenSSL para Debian, 2533 claves asociadas con la vulnerabilidad CVE-2017-15361 en la biblioteca Infineon y 1860 claves con una Vulnerabilidad asociada a la búsqueda del máximo común divisor (MCD). Se ha enviado información sobre los certificados problemáticos que siguen en uso a las autoridades de certificación para su revocación.
Fuente: opennet.ru