Anggota Tim Keamanan Google telah menerbitkan perpustakaan sumber terbuka, Paranoid, yang dirancang untuk mengidentifikasi artefak kriptografi yang lemah, seperti kunci publik dan tanda tangan digital, yang dibuat dalam sistem perangkat keras dan perangkat lunak yang rentan (HSM). Kode ini ditulis dengan Python dan didistribusikan di bawah lisensi Apache 2.0.
Proyek ini mungkin berguna untuk menilai secara tidak langsung penggunaan algoritma dan perpustakaan yang telah mengetahui kesenjangan dan kerentanan yang mempengaruhi keandalan kunci yang dihasilkan dan tanda tangan digital jika artefak yang diverifikasi dihasilkan oleh perangkat keras yang tidak dapat diverifikasi atau oleh komponen tertutup yang mewakili a kotak hitam. Perpustakaan juga dapat menganalisis kumpulan angka pseudorandom untuk mengetahui keandalan generatornya, dan dari sejumlah besar artefak, mengidentifikasi masalah yang sebelumnya tidak diketahui yang timbul dari kesalahan pemrograman atau penggunaan generator angka pseudorandom yang tidak dapat diandalkan.
Saat menggunakan perpustakaan yang diusulkan untuk memeriksa konten log publik CT (Transparansi Sertifikat), yang mencakup informasi tentang lebih dari 7 miliar sertifikat, tidak ditemukan kunci publik bermasalah berdasarkan kurva elips (EC) dan tanda tangan digital berdasarkan algoritma ECDSA. , tetapi kunci publik yang bermasalah ditemukan berdasarkan algoritma RSA. Secara khusus, 3586 kunci tidak tepercaya diidentifikasi yang dihasilkan oleh kode dengan kerentanan CVE-2008-0166 yang belum diperbaiki dalam paket OpenSSL untuk Debian, 2533 kunci yang terkait dengan kerentanan CVE-2017-15361 di perpustakaan Infineon, dan 1860 kunci dengan kerentanan kerentanan yang terkait dengan pencarian pembagi persekutuan terbesar (GCD). Informasi tentang sertifikat bermasalah yang masih digunakan telah dikirim ke otoritas sertifikasi untuk dicabut.
Sumber: opennet.ru