Googlen tietoturvatiimin jäsenet ovat julkaisseet avoimen lähdekoodin kirjaston, Paranoidin, joka on suunniteltu tunnistamaan heikkoja kryptografisia artefakteja, kuten julkisia avaimia ja digitaalisia allekirjoituksia, jotka on luotu haavoittuvissa laitteistoissa (HSM) ja ohjelmistojärjestelmissä. Koodi on kirjoitettu Pythonilla ja jaettu Apache 2.0 -lisenssillä.
Projekti voi olla hyödyllinen arvioitaessa epäsuorasti sellaisten algoritmien ja kirjastojen käyttöä, joissa on tunnettuja aukkoja ja haavoittuvuuksia, jotka vaikuttavat luotujen avainten ja digitaalisten allekirjoitusten luotettavuuteen, jos varmennettavat artefaktit on tuotettu laitteistolla, jota ei voida todentaa, tai suljetuilla komponenteilla, jotka edustavat musta laatikko. Kirjasto voi myös analysoida näennäissatunnaisten lukujen sarjoja niiden generaattorin luotettavuuden suhteen ja tunnistaa suuresta artefaktien kokoelmasta aiemmin tuntemattomia ongelmia, jotka johtuvat ohjelmointivirheistä tai epäluotettavien näennäissatunnaisten lukugeneraattoreiden käytöstä.
Kun ehdotettua kirjastoa käytettiin yli 7 miljardin varmenteen tietoja sisältävän julkisen CT (Certificate Transparency) -lokin sisällön tarkistamiseen, ei löydetty elliptisiin käyriin (EC) perustuvia ongelmallisia julkisia avaimia eikä ECDSA-algoritmiin perustuvia digitaalisia allekirjoituksia. , mutta ongelmalliset julkiset avaimet löydettiin RSA-algoritmin perusteella. Erityisesti tunnistettiin 3586 2008 epäluotettavaa avainta, jotka on luotu koodilla, jossa oli korjaamaton haavoittuvuus CVE-0166-2533 OpenSSL-paketissa Debianille, 2017 15361 avainta, jotka liittyvät CVE-1860-XNUMX haavoittuvuuteen Infineon-kirjastossa, ja XNUMX XNUMX avaimet. haavoittuvuus, joka liittyy suurimman yhteisen jakajan (GCD) etsimiseen. Tietoa käytössä olevista ongelmallisista varmenteista on lähetetty varmentajille niiden peruuttamista varten.
Lähde: opennet.ru