Google Անվտանգության թիմի անդամները հրապարակել են բաց կոդով գրադարան՝ Paranoid, որը նախատեսված է թույլ գաղտնագրային արտեֆակտները հայտնաբերելու համար, ինչպիսիք են հանրային բանալիները և թվային ստորագրությունները, որոնք ստեղծված են խոցելի ապարատային (HSM) և ծրագրային համակարգերում: Կոդը գրված է Python-ով և տարածվում է Apache 2.0 լիցենզիայի ներքո:
Նախագիծը կարող է օգտակար լինել անուղղակիորեն գնահատելու ալգորիթմների և գրադարանների օգտագործումը, որոնք ունեն հայտնի բացեր և խոցելիություններ, որոնք ազդում են ստեղծված բանալիների և թվային ստորագրությունների հուսալիության վրա, եթե ստուգվող արտեֆակտները ստեղծվել են անհասանելի ապարատային կամ փակ բաղադրիչների կողմից, որոնք սև արկղ են: Գրադարանը կարող է նաև վերլուծել կեղծ պատահական թվերի մի շարք՝ դրանց գեներատորի հուսալիության համար, և արտեֆակտների մեծ հավաքածուից բացահայտել նախկինում անհայտ խնդիրները, որոնք առաջացել են ծրագրավորման սխալներից կամ անվստահելի կեղծ պատահական թվերի գեներատորներից:
Առաջարկվող գրադարանն օգտագործելիս CT (Certificate Transparency) հանրային մատյանի բովանդակությունը ստուգելու ժամանակ, որը ներառում է ավելի քան 7 միլիարդ վկայականների մասին տեղեկատվություն, էլիպսային կորերի (EC) վրա հիմնված խնդրահարույց հանրային բանալիներ և ECDSA ալգորիթմի վրա հիմնված թվային ստորագրություններ չեն հայտնաբերվել: , սակայն խնդրահարույց հանրային բանալիներ հայտնաբերվել են RSA ալգորիթմի հիման վրա: Մասնավորապես, հայտնաբերվել են 3586 անվստահելի բանալիներ, որոնք ստեղծվել են կոդով CVE-2008-0166 չֆիքսված խոցելիությամբ Debian-ի OpenSSL փաթեթում, 2533 բանալի՝ կապված CVE-2017-15361 խոցելիության հետ՝ Infineon գրադարանում և 1860 բանալիով: խոցելիություն, որը կապված է ամենամեծ ընդհանուր բաժանարարի (GCD) որոնման հետ: Խնդրահարույց վկայագրերի մասին տեղեկությունները, որոնք մնում են օգտագործման մեջ, ուղարկվել են սերտիֆիկացման մարմիններին՝ դրանք չեղյալ համարելու համար:
Source: opennet.ru