Manm Ekip Sekirite Google yo te pibliye yon bibliyotèk sous ouvè, Paranoid, ki fèt pou idantifye zafè kriptografik ki fèb, tankou kle piblik ak siyati dijital, ki te kreye nan pyès ki nan konpitè vilnerab (HSM) ak sistèm lojisyèl. Kòd la ekri nan Python epi distribye anba lisans Apache 2.0.
Pwojè a ka itil pou evalye endirèkteman itilizasyon algoritm ak bibliyotèk ki te konnen twou vid ki genyen ak vilnerabilite ki afekte fyab nan kle pwodwi ak siyati dijital si zafè yo te verifye yo te pwodwi pa pyès ki nan konpitè inaksesib oswa konpozan fèmen ki se yon bwat nwa. Bibliyotèk la kapab tou analize seri nimewo pseudo-random pou fyab nan dèlko yo, ak nan yon koleksyon gwo zafè, idantifye pwoblèm deja enkoni ki rive nan erè pwogramasyon oswa itilizasyon dèlko nimewo pseudo-random enfidèl.
Lè w tcheke sa ki nan jounal piblik CT (Sètifika Transparans) lè l sèvi avèk bibliyotèk yo pwopoze a, ki gen ladann enfòmasyon sou plis pase 7 milya sètifika, yo pa jwenn okenn kle piblik ki gen pwoblèm ki baze sou koub eliptik (EC) ak siyati dijital ki baze sou algorithm ECDSA a, men pwoblèm kle piblik yo te jwenn sou baze sou algorithm RSA a. An patikilye, yo te idantifye 3586 kle ki pa fè konfyans ki te pwodwi pa kòd ak vilnerabilite ki pa fiks CVE-2008-0166 nan pake OpenSSL pou Debian, 2533 kle ki asosye ak vilnerabilite CVE-2017-15361 nan bibliyotèk Infineon, ak 1860 kle ak yon vilnerabilite ki asosye ak rechèch la pi gran divizyon komen (GCD). Enfòmasyon sou sètifika pwoblèm ki rete nan itilize yo te voye bay otorite sètifikasyon pou yo anile.
Sous: opennet.ru