Google은 문제가 있는 암호화 키를 식별하기 위한 라이브러리를 게시했습니다.

Google 보안 팀의 구성원은 취약한 하드웨어(HSM) 및 소프트웨어 시스템에서 생성된 공개 키 및 디지털 서명과 같은 취약한 암호화 아티팩트를 식별하도록 설계된 오픈 소스 라이브러리인 Paranoid를 게시했습니다. 코드는 Python으로 작성되었으며 Apache 2.0 라이센스에 따라 배포됩니다.

이 프로젝트는 확인 중인 아티팩트가 액세스할 수 없는 하드웨어나 블랙박스인 폐쇄 구성 요소에 의해 생성된 경우 생성된 키와 디지털 서명의 신뢰성에 영향을 미치는 알려진 격차와 취약점이 있는 알고리즘 및 라이브러리의 사용을 간접적으로 평가하는 데 유용할 수 있습니다. 또한 라이브러리는 생성기의 신뢰성을 위해 의사 난수 세트를 분석하고 대규모 아티팩트 컬렉션에서 프로그래밍 오류 또는 신뢰할 수 없는 의사 난수 생성기의 사용으로 인해 이전에 알려지지 않은 문제를 식별할 수 있습니다.

제안된 라이브러리를 이용하여 7억 개 이상의 인증서 정보가 포함된 CT(Certificate Transparency) 공개 로그의 내용을 확인한 결과 타원곡선(EC) 기반의 공개키와 ECDSA 알고리즘 기반의 디지털 서명은 문제가 없는 것으로 확인됐다. , 그러나 RSA 알고리즘을 기반으로 문제가 있는 공개 키가 발견되었습니다. 특히 Debian용 OpenSSL 패키지의 수정되지 않은 취약점 CVE-3586-2008이 있는 코드에서 생성된 신뢰할 수 없는 키 0166개, Infineon 라이브러리의 CVE-2533-2017 취약점과 관련된 키 15361개, 최대공약수(GCD) 검색과 관련된 취약점. 사용 중인 문제가 있는 인증서에 대한 정보는 해지를 위해 인증 기관에 전송되었습니다.

출처 : opennet.ru