Os membros do equipo de seguranza de Google publicaron unha biblioteca de código aberto, Paranoid, deseñada para identificar artefactos criptográficos débiles, como chaves públicas e sinaturas dixitais, creados en sistemas de software e hardware vulnerables (HSM). O código está escrito en Python e distribúese baixo a licenza Apache 2.0.
O proxecto pode ser útil para avaliar indirectamente o uso de algoritmos e bibliotecas que teñan lagoas e vulnerabilidades coñecidas que afectan á fiabilidade das claves xeradas e das sinaturas dixitais se os artefactos que se verifican son xerados por hardware que non se pode verificar ou por compoñentes pechados que representan un caixa negra. A biblioteca tamén pode analizar conxuntos de números pseudoaleatorios para determinar a fiabilidade do seu xerador e, a partir dunha gran colección de artefactos, identificar problemas descoñecidos anteriormente derivados de erros de programación ou do uso de xeradores de números pseudoaleatorios pouco fiables.
Ao utilizar a biblioteca proposta para comprobar o contido do rexistro público CT (Certificate Transparency), que inclúe información sobre máis de 7 millóns de certificados, non se atoparon chaves públicas problemáticas baseadas en curvas elípticas (EC) e sinaturas dixitais baseadas no algoritmo ECDSA. , pero se atoparon chaves públicas problemáticas baseadas no algoritmo RSA. En particular, identificáronse 3586 claves non fiables que foron xeradas por código coa vulnerabilidade non corrixida CVE-2008-0166 no paquete OpenSSL para Debian, 2533 claves asociadas á vulnerabilidade CVE-2017-15361 na biblioteca Infineon e 1860 claves cunha vulnerabilidade asociada á busca do máximo común divisor (MCD). A información sobre certificados problemáticos que seguen en uso foi enviada ás autoridades de certificación para a súa revogación.
Fonte: opennet.ru