Google セキュリティ チームのメンバーは、脆弱なハードウェア (HSM) およびソフトウェア システムで作成された公開キーやデジタル署名などの弱い暗号化アーティファクトを識別するように設計されたオープンソース ライブラリである Paranoid を公開しました。コードは Python で書かれており、Apache 2.0 ライセンスに基づいて配布されます。
このプロジェクトは、検証対象のアーティファクトが検証できないハードウェアまたは非公開コンポーネントによって生成された場合に、生成されたキーおよびデジタル署名の信頼性に影響を与える既知のギャップや脆弱性を持つアルゴリズムやライブラリの使用を間接的に評価するのに役立つ可能性があります。ブラックボックス。このライブラリは、擬似乱数のセットをその生成器の信頼性について分析することもでき、アーティファクトの大規模なコレクションから、プログラミング エラーや信頼性の低い擬似乱数生成器の使用に起因するこれまで知られていなかった問題を特定することもできます。
提案されたライブラリを使用して、7 億件を超える証明書に関する情報が含まれる CT (Certificate Transparency) パブリック ログの内容を確認したところ、問題のある楕円曲線 (EC) に基づく公開鍵や ECDSA アルゴリズムに基づくデジタル署名は検出されませんでした。ですが、RSA アルゴリズムに基づいて問題のある公開キーが見つかりました。特に、Debian 用 OpenSSL パッケージの未修正の脆弱性 CVE-3586-2008 を持つコードによって生成された 0166 個の信頼できないキー、Infineon ライブラリの CVE-2533-2017 脆弱性に関連する 15361 個のキー、および最大公約数 (GCD) の検索に関連する脆弱性。使用され続けている問題のある証明書に関する情報は、取り消しを求めるために認証局に送信されています。
出所: オープンネット.ru