I membri del team di sicurezza di Google hanno pubblicato una libreria open source, Paranoid, progettata per identificare artefatti crittografici deboli, come chiavi pubbliche e firme digitali, creati in sistemi hardware e software vulnerabili (HSM). Il codice è scritto in Python e distribuito sotto la licenza Apache 2.0.
Il progetto può essere utile per valutare indirettamente l'utilizzo di algoritmi e librerie che presentano lacune e vulnerabilità note che influiscono sull'affidabilità delle chiavi generate e delle firme digitali nel caso in cui gli artefatti oggetto di verifica siano generati da hardware non verificabile o da componenti chiusi che rappresentano un scatola nera. La libreria può anche analizzare insiemi di numeri pseudocasuali per verificare l'affidabilità del loro generatore e, da un'ampia raccolta di artefatti, identificare problemi precedentemente sconosciuti derivanti da errori di programmazione o dall'uso di generatori di numeri pseudocasuali inaffidabili.
Utilizzando la libreria proposta per verificare il contenuto del registro pubblico CT (Certificate Transparency), che include informazioni su oltre 7 miliardi di certificati, non sono state trovate chiavi pubbliche problematiche basate su curve ellittiche (EC) e firme digitali basate sull'algoritmo ECDSA , ma sono state trovate chiavi pubbliche problematiche in base all'algoritmo RSA. In particolare, sono state identificate 3586 chiavi non attendibili generate da codice con la vulnerabilità non risolta CVE-2008-0166 nel pacchetto OpenSSL per Debian, 2533 chiavi associate alla vulnerabilità CVE-2017-15361 nella libreria Infineon e 1860 chiavi con vulnerabilità associata alla ricerca del massimo comun divisore (MCD). Le informazioni sui certificati problematici che rimangono in uso sono state inviate alle autorità di certificazione per la loro revoca.
Fonte: opennet.ru