A Google biztonsági csapatának tagjai közzétették a Paranoid nevű nyílt forráskódú könyvtárat, amely a gyenge kriptográfiai műtermékek, például nyilvános kulcsok és digitális aláírások azonosítására szolgál, amelyeket sebezhető hardver- (HSM) és szoftverrendszerekben hoztak létre. A kód Pythonban íródott, és az Apache 2.0 licenc alatt terjeszthető.
A projekt hasznos lehet olyan algoritmusok és könyvtárak használatának közvetett értékelésére, amelyek ismert hiányosságokkal és sebezhetőségekkel rendelkeznek, amelyek befolyásolják a generált kulcsok és digitális aláírások megbízhatóságát, ha az ellenőrzött műtermékeket nem ellenőrizhető hardver vagy zárt összetevők generálják, amelyek egy fekete doboz. A könyvtár álvéletlen számok halmazait is elemzi a generátor megbízhatósága szempontjából, és a műtermékek nagy gyűjteményéből azonosítja a programozási hibákból vagy a megbízhatatlan álvéletlen számgenerátorok használatából eredő, korábban ismeretlen problémákat.
При проверке при помощи предложенной библиотеки содержимого публичного лога CT (Certificate Transparency), включающего сведения о более чем 7 миллиардах сертификатов, не выявлено проблемных открытых ключей на основе эллиптических кривых (EC) и цифровых подписей на базе алгоритма ECDSA, но найдены проблемные открытые ключи на базе алгоритма RSA. В частности, выявлено 3586 ненадёжных ключей, сгенерированных кодом с неисправленной уязвимостью CVE-2008-0166 в OpenSSL-пакете для Debian, 2533 ключей, связанных с уязвимостью CVE-2017-15361 в библиотеке Infineon, и 1860 ключей с уязвимостью, связанной с поиском наибольшего общего делителя (GCD). Информация об остающихся в обиходе проблемных сертификатах направлена удостоверяющим центрам для их отзыва.
Forrás: opennet.ru
