Google објави библиотека за да ги идентификува проблематичните криптографски клучеви

Членовите на тимот за безбедност на Google објавија библиотека со отворен код, Paranoid, дизајнирана да идентификува слаби криптографски артефакти, како што се јавни клучеви и дигитални потписи, создадени во ранливи хардверски (HSM) и софтверски системи. Кодот е напишан во Python и дистрибуиран под лиценцата Apache 2.0.

Проектот може да биде корисен за индиректно оценување на употребата на алгоритми и библиотеки кои имаат познати празнини и пропусти кои влијаат на веродостојноста на генерираните клучеви и дигитални потписи доколку артефактите што се проверуваат се генерирани од хардвер што не може да се потврди или од затворени компоненти кои претставуваат Црна кутија. Библиотеката, исто така, може да анализира множества од псевдослучајни броеви за веродостојноста на нивниот генератор и од голема колекција артефакти, да идентификува претходно непознати проблеми кои произлегуваат од програмски грешки или употреба на несигурни генератори на псевдослучајни броеви.

При проверка на содржината на јавниот лог за транспарентност на сертификати (CT), кој вклучува информации за над 7 милијарди сертификати, користејќи ја предложената библиотека, не беа пронајдени проблематични јавни клучеви базирани на елиптични криви (EC) или дигитални потписи базирани на алгоритмот ECDSA, но беа пронајдени проблематични јавни клучеви базирани на алгоритмот RSA. Поточно, беа идентификувани 3586 слаби клучеви генерирани од код со незакрпена ранливост CVE-2008-0166 во пакетот OpenSSL. Debian, 2533 клучеви поврзани со ранливоста CVE-2017-15361 во библиотеката Infineon и 1860 клучеви со ранливост поврзана со пребарувањето на најголемиот заеднички делител (GCD). Информациите за преостанатите засегнати сертификати се испратени до органите за сертификација за поништување.

Извор: opennet.ru