Meðlimir öryggisteymis Google hafa gefið út opið bókasafn, Paranoid, sem er hannað til að bera kennsl á veika dulmálsgripi, eins og opinbera lykla og stafrænar undirskriftir, búnar til í viðkvæmum vélbúnaði (HSM) og hugbúnaðarkerfum. Kóðinn er skrifaður í Python og dreift undir Apache 2.0 leyfinu.
Verkefnið getur verið gagnlegt til að meta óbeint notkun reiknirita og bókasöfna sem hafa þekktar eyður og veikleika sem hafa áhrif á áreiðanleika myndaðra lykla og stafrænna undirskrifta ef gripirnir sem verið er að sannreyna eru búnir til af vélbúnaði sem ekki er hægt að sannreyna eða af lokuðum íhlutum sem tákna a svartur kassi. Bókasafnið getur einnig greint sett af gervi-slembitölum með tilliti til áreiðanleika rafalls þeirra, og úr stóru safni gripa, greint áður óþekkt vandamál sem stafa af forritunarvillum eða notkun óáreiðanlegra gervi-slembitölurala.
Þegar fyrirhugað bókasafn var notað til að athuga innihald opinberu CT (Certificate Transparency) annálaskrárinnar, sem inniheldur upplýsingar um meira en 7 milljarða skilríkja, fundust engir erfiðir opinberir lyklar byggðir á sporöskjulaga ferlum (EC) og stafrænum undirskriftum byggðar á ECDSA reikniritinu. , en erfiðir opinberir lyklar fundust á grundvelli RSA reikniritsins. Sérstaklega voru auðkenndir 3586 ótraustir lyklar sem voru búnir til með kóða með ólagaða varnarleysinu CVE-2008-0166 í OpenSSL pakkanum fyrir Debian, 2533 lyklar sem tengjast CVE-2017-15361 varnarleysinu í Infineon bókasafninu og 1860 lyklar með a. varnarleysi sem tengist leitinni að mesta sameiginlegum deili (GCD). Upplýsingar um vandamál sem eru í notkun hafa verið sendar til vottunaryfirvalda til afturköllunar þeirra.
Heimild: opennet.ru