A Google biztonsági csapatának tagjai közzétették a Paranoid nevű nyílt forráskódú könyvtárat, amely a gyenge kriptográfiai műtermékek, például nyilvános kulcsok és digitális aláírások azonosítására szolgál, amelyeket sebezhető hardver- (HSM) és szoftverrendszerekben hoztak létre. A kód Pythonban íródott, és az Apache 2.0 licenc alatt terjeszthető.
A projekt hasznos lehet olyan algoritmusok és könyvtárak használatának közvetett értékelésére, amelyek ismert hiányosságokkal és sebezhetőségekkel rendelkeznek, amelyek befolyásolják a generált kulcsok és digitális aláírások megbízhatóságát, ha az ellenőrzött műtermékeket nem ellenőrizhető hardver vagy zárt összetevők generálják, amelyek egy fekete doboz. A könyvtár álvéletlen számok halmazait is elemzi a generátor megbízhatósága szempontjából, és a műtermékek nagy gyűjteményéből azonosítja a programozási hibákból vagy a megbízhatatlan álvéletlen számgenerátorok használatából eredő, korábban ismeretlen problémákat.
Amikor a javasolt könyvtárat a több mint 7 milliárd tanúsítványról szóló információt tartalmazó CT (Certificate Transparency) nyilvános napló tartalmának ellenőrzésére használták, nem találtak problémás elliptikus görbék (EC) és ECDSA algoritmuson alapuló digitális aláírások alapján működő nyilvános kulcsokat. , de az RSA algoritmus alapján problémás nyilvános kulcsokat találtunk. Konkrétan 3586 nem megbízható kulcsot azonosítottak, amelyeket a CVE-2008-0166 javítatlan biztonsági rést tartalmazó kód a Debianhoz készült OpenSSL-csomagban, a 2533 kulcs a CVE-2017-15361 biztonsági réshez társított Infineon-könyvtárban, valamint az 1860-as kulcsokat hozott létre. a legnagyobb közös osztó (GCD) keresésével kapcsolatos sebezhetőség. A használatban maradó, problémás tanúsítványokkal kapcsolatos információkat elküldtük a tanúsító hatóságoknak azok visszavonása céljából.
Forrás: opennet.ru