Članovi Google sigurnosnog tima objavili su biblioteku otvorenog koda, Paranoid, dizajniranu za prepoznavanje slabih kriptografskih artefakata, poput javnih ključeva i digitalnih potpisa, stvorenih u ranjivim hardverskim (HSM) i softverskim sustavima. Kod je napisan u Pythonu i distribuiran pod licencom Apache 2.0.
Projekt bi mogao biti koristan za neizravnu procjenu upotrebe algoritama i biblioteka koje imaju poznate nedostatke i ranjivosti koje utječu na pouzdanost generiranih ključeva i digitalnih potpisa ako su artefakti koji se provjeravaju generirani hardverom koji se ne može provjeriti ili zatvorenim komponentama koje predstavljaju Crna kutija. Knjižnica također može analizirati skupove pseudoslučajnih brojeva radi pouzdanosti njihovog generatora i iz velike zbirke artefakata identificirati prethodno nepoznate probleme koji proizlaze iz programskih pogrešaka ili upotrebe nepouzdanih generatora pseudoslučajnih brojeva.
Prilikom korištenja predložene biblioteke za provjeru sadržaja javnog dnevnika CT (Certificate Transparency), koji uključuje podatke o više od 7 milijardi certifikata, nisu pronađeni problematični javni ključevi temeljeni na eliptičnim krivuljama (EC) i digitalnim potpisima temeljenim na ECDSA algoritmu , ali su problematični javni ključevi pronađeni na temelju RSA algoritma. Konkretno, identificirano je 3586 nepouzdanih ključeva koje je generirao kod s neispravljenom ranjivošću CVE-2008-0166 u paketu OpenSSL za Debian, 2533 ključa povezana s ranjivošću CVE-2017-15361 u biblioteci Infineon i 1860 ključeva s ranjivost povezana s traženjem najvećeg zajedničkog djelitelja (GCD). Informacije o problematičnim certifikatima koji su ostali u uporabi poslane su certifikacijskim tijelima na opoziv.
Izvor: opennet.ru