L'équipe de sécurité de Google a publié Paranoid, une bibliothèque open source conçue pour détecter les failles cryptographiques, telles que les clés publiques et les signatures numériques, créées dans des systèmes matériels (HSM) et logiciels vulnérables. Le code est écrit en Python et distribué sous licence Apache 2.0.
Ce projet pourrait s'avérer utile pour évaluer indirectement l'utilisation d'algorithmes et de bibliothèques présentant des failles et des vulnérabilités connues, affectant la fiabilité des clés générées et des signatures numériques, notamment lorsque les artefacts testés sont produits par du matériel inaccessible ou des composants fermés (boîte noire). La bibliothèque peut également analyser la fiabilité des générateurs de nombres pseudo-aléatoires et, grâce à une vaste collection d'artefacts, identifier des problèmes jusqu'alors inconnus, résultant d'erreurs de programmation ou de l'utilisation de générateurs de nombres pseudo-aléatoires non fiables.
Lors de la vérification du contenu du journal public CT (Certificate Transparency), qui recense plus de 7 milliards de certificats, à l'aide de la bibliothèque proposée, aucune clé publique problématique basée sur les courbes elliptiques (EC) ni aucune signature numérique basée sur l'algorithme ECDSA n'ont été détectées. En revanche, des clés publiques problématiques basées sur l'algorithme RSA ont été identifiées. Plus précisément, 3 586 clés faibles, générées par du code présentant une vulnérabilité non corrigée (CVE-2008-0166) dans le package OpenSSL, ont été mises en évidence. Debian2 533 clés sont liées à la vulnérabilité CVE-2017-15361 de la bibliothèque Infineon, et 1 860 clés présentent une vulnérabilité liée à la recherche du plus grand commun diviseur (PGCD). Les informations concernant les certificats affectés restants ont été transmises aux autorités de certification en vue de leur révocation.
Source: opennet.ru
