اعضای تیم امنیتی Google یک کتابخانه منبع باز به نام Paranoid منتشر کرده اند که برای شناسایی مصنوعات رمزنگاری ضعیف، مانند کلیدهای عمومی و امضای دیجیتال، ایجاد شده در سخت افزارهای آسیب پذیر (HSM) و سیستم های نرم افزاری طراحی شده است. کد به زبان پایتون نوشته شده و تحت مجوز آپاچی 2.0 توزیع شده است.
این پروژه ممکن است برای ارزیابی غیرمستقیم استفاده از الگوریتمها و کتابخانههایی مفید باشد که دارای شکافها و آسیبپذیریهای شناخته شدهای هستند که بر قابلیت اطمینان کلیدهای تولید شده و امضای دیجیتال تأثیر میگذارند، اگر مصنوعات در حال تأیید توسط سختافزار غیرقابل دسترسی یا اجزای بستهای که یک جعبه سیاه هستند تولید شوند. این کتابخانه همچنین میتواند مجموعهای از اعداد شبه تصادفی را برای قابلیت اطمینان مولد آنها تجزیه و تحلیل کند و از مجموعه بزرگی از مصنوعات، مشکلات ناشناخته قبلی ناشی از خطاهای برنامهنویسی یا استفاده از مولدهای اعداد شبه تصادفی غیرقابل اعتماد را شناسایی کند.
هنگام بررسی محتویات گزارش عمومی CT (شفافیت گواهی) با استفاده از کتابخانه پیشنهادی، که شامل اطلاعات بیش از 7 میلیارد گواهی است، هیچ کلید عمومی مشکلدار بر اساس منحنیهای بیضوی (EC) و امضاهای دیجیتال بر اساس الگوریتم ECDSA یافت نشد. اما کلیدهای عمومی مشکل ساز بر اساس الگوریتم RSA یافت شدند. به طور خاص، 3586 کلید غیرقابل اعتماد شناسایی شد که توسط کد با آسیبپذیری ثابت نشده CVE-2008-0166 در بسته OpenSSL برای Debian، 2533 کلید مرتبط با آسیبپذیری CVE-2017-15361 در کتابخانه Infineon با یک کتابخانه، و یک کلید 1860، و آسیبپذیری مرتبط با جستجوی بزرگترین مقسومکننده مشترک (GCD). اطلاعات مربوط به گواهی های مشکل دار که همچنان در حال استفاده هستند، برای ابطال آنها به مقامات صدور گواهینامه ارسال شده است.
منبع: opennet.ru