Les membres de l'équipe de sécurité de Google ont publié une bibliothèque open source, Paranoid, conçue pour identifier les artefacts cryptographiques faibles, tels que les clés publiques et les signatures numériques, créés dans les systèmes matériels (HSM) et logiciels vulnérables. Le code est écrit en Python et distribué sous la licence Apache 2.0.
Le projet peut être utile pour évaluer indirectement l'utilisation d'algorithmes et de bibliothèques qui présentent des lacunes et des vulnérabilités connues qui affectent la fiabilité des clés et des signatures numériques générées si les artefacts en cours de vérification sont générés par du matériel inaccessible ou des composants fermés qui constituent une boîte noire. La bibliothèque peut également analyser des ensembles de nombres pseudo-aléatoires pour vérifier la fiabilité de leur générateur et, à partir d'une vaste collection d'artefacts, identifier des problèmes jusqu'alors inconnus résultant d'erreurs de programmation ou de l'utilisation de générateurs de nombres pseudo-aléatoires peu fiables.
Lors de l'utilisation de la bibliothèque proposée pour vérifier le contenu du journal public CT (Certificate Transparency), qui comprend des informations sur plus de 7 milliards de certificats, aucune clé publique problématique basée sur des courbes elliptiques (EC) et des signatures numériques basées sur l'algorithme ECDSA n'ont été trouvées. , mais des clés publiques problématiques ont été trouvées sur la base de l'algorithme RSA. En particulier, 3586 2008 clés non fiables ont été identifiées, générées par du code avec la vulnérabilité non corrigée CVE-0166-2533 dans le package OpenSSL pour Debian, 2017 15361 clés associées à la vulnérabilité CVE-1860-XNUMX dans la bibliothèque Infineon et XNUMX XNUMX clés avec un vulnérabilité associée à la recherche du plus grand commun diviseur (PGCD). Les informations sur les certificats problématiques qui restent utilisés ont été envoyées aux autorités de certification pour leur révocation.
Source: opennet.ru