Google'i turbemeeskonna liikmed on avaldanud avatud lähtekoodiga teegi Paranoid, mis on loodud haavatavates riistvara- (HSM) ja tarkvarasüsteemides loodud nõrkade krüptograafiliste artefaktide (nt avalikud võtmed ja digitaalallkirjad) tuvastamiseks. Kood on kirjutatud Pythonis ja levitatakse Apache 2.0 litsentsi all.
Projekt võib olla kasulik selliste algoritmide ja teekide kasutamise kaudseks hindamiseks, millel on teadaolevad lüngad ja haavatavused, mis mõjutavad genereeritud võtmete ja digitaalallkirjade usaldusväärsust, kui kontrollitavad artefaktid on genereeritud riistvaraga, mida ei saa kontrollida, või suletud komponentidega, mis esindavad must kast. Samuti saab raamatukogu analüüsida pseudojuhuslike arvude komplekte nende generaatori töökindluse osas ja suurest artefaktide kogust tuvastada varem tundmatuid probleeme, mis tulenevad programmeerimisvigadest või ebausaldusväärsete pseudojuhuslike numbrite generaatorite kasutamisest.
Kasutades pakutud teeki enam kui 7 miljardi sertifikaadi kohta teavet sisaldava CT (Certificate Transparency) avaliku logi sisu kontrollimiseks, ei leitud probleemseid avalikke võtmeid elliptilistel kõveratel (EC) ja ECDSA algoritmil põhinevaid digitaalallkirju. , kuid probleemsed avalikud võtmed leiti RSA algoritmi põhjal. Eelkõige tuvastati 3586 ebausaldusväärset võtit, mille genereeris Debiani jaoks mõeldud OpenSSL-i paketi parandamata haavatavusega CVE-2008-0166, Infineoni teegis haavatavusega CVE-2533-2017 seotud 15361 võtit ja 1860 võtmega. haavatavus, mis on seotud suurima ühise jagaja (GCD) otsimisega. Info kasutusse jäänud probleemsete sertifikaatide kohta on saadetud sertifitseerimisasutustele nende tühistamiseks.
Allikas: opennet.ru