„Google“ saugos komandos nariai paskelbė atvirojo kodo biblioteką „Paranoid“, skirtą silpniems kriptografiniams artefaktams, pvz., viešiesiems raktams ir skaitmeniniams parašams, sukurtiems pažeidžiamose aparatinės įrangos (HSM) ir programinės įrangos sistemose, nustatyti. Kodas parašytas Python ir platinamas pagal Apache 2.0 licenciją.
Projektas gali būti naudingas netiesiogiai vertinant algoritmų ir bibliotekų, kuriose yra žinomų spragų ir pažeidžiamumų, turinčių įtakos sugeneruotų raktų ir skaitmeninių parašų patikimumui, naudojimą, jei tikrinami artefaktai generuojami dėl nepasiekiamos aparatinės įrangos arba uždarų komponentų, kurie yra juodoji dėžė. Biblioteka taip pat gali analizuoti pseudoatsitiktinių skaičių rinkinius, kad nustatytų jų generatoriaus patikimumą, ir iš didelės artefaktų kolekcijos nustatyti anksčiau nežinomas problemas, kylančias dėl programavimo klaidų arba nepatikimų pseudoatsitiktinių skaičių generatorių naudojimo.
Naudojant siūlomą biblioteką CT (Certificate Transparency) viešojo žurnalo, kuriame yra informacijos apie daugiau nei 7 milijardus sertifikatų, turiniui patikrinti, probleminių viešųjų raktų, pagrįstų elipsinėmis kreivėmis (EC) ir skaitmeninių parašų, pagrįstų ECDSA algoritmu, nerasta. , tačiau probleminiai viešieji raktai buvo rasti remiantis RSA algoritmu. Visų pirma, buvo nustatyti 3586 2008 nepatikimi raktai, sukurti naudojant kodą su nepataisytu pažeidžiamumu CVE-0166-2533 OpenSSL pakete, skirtame Debian, 2017 15361 raktus, susijusius su CVE-1860-XNUMX pažeidžiamumu Infineon bibliotekoje, ir XNUMX XNUMX raktus. pažeidžiamumas, susijęs su didžiausio bendro daliklio (GCD) paieška. Informacija apie probleminius sertifikatus, kurie lieka naudojami, buvo išsiųsta sertifikavimo institucijoms, kad jos būtų atšauktos.
Šaltinis: opennet.ru