Membri tat-Tim tas-Sigurtà ta 'Google ppubblikaw librerija ta' sors miftuħ, Paranoid, iddisinjata biex tidentifika artifatti kriptografiċi dgħajfa, bħal ċwievet pubbliċi u firem diġitali, maħluqa f'sistemi ta 'ħardwer u software vulnerabbli (HSM). Il-kodiċi huwa miktub f'Python u mqassam taħt il-liċenzja Apache 2.0.
Il-proġett jista’ jkun utli għall-valutazzjoni indiretta tal-użu ta’ algoritmi u libreriji li għandhom lakuni u vulnerabbiltajiet magħrufa li jaffettwaw l-affidabbiltà ta’ ċwievet iġġenerati u firem diġitali jekk l-artifatti li qed jiġu vverifikati huma ġġenerati minn ħardwer li ma jistax jiġi vverifikat jew minn komponenti magħluqa li jirrappreżentaw kaxxa sewda. Il-librerija tista 'wkoll tanalizza settijiet ta' numri pseudorandom għall-affidabbiltà tal-ġeneratur tagħhom, u minn kollezzjoni kbira ta 'artifacts, tidentifika problemi li qabel ma kinux magħrufa li jirriżultaw minn żbalji ta' programmazzjoni jew l-użu ta 'ġeneraturi ta' numri pseudorandom mhux affidabbli.
Meta tuża l-librerija proposta biex tiċċekkja l-kontenut tar-reġistru pubbliku CT (Trasparenza taċ-Ċertifikat), li jinkludi informazzjoni dwar aktar minn 7 biljun ċertifikat, ma nstabu l-ebda ċwievet pubbliċi problematiċi bbażati fuq kurvi ellittiċi (EC) u firem diġitali bbażati fuq l-algoritmu ECDSA , iżda nstabu ċwievet pubbliċi problematiċi bbażati fuq l-algoritmu RSA. B'mod partikolari, ġew identifikati 3586 ċavetta mhux fdata li kienu ġġenerati minn kodiċi bil-vulnerabbiltà mhux iffissata CVE-2008-0166 fil-pakkett OpenSSL għal Debian, 2533 ċavetta assoċjata mal-vulnerabilità CVE-2017-15361 fil-librerija Infineon, u 1860 ċavetta b' vulnerabbiltà assoċjata mat-tfittxija għall-akbar diviżur komuni (GCD). Informazzjoni dwar ċertifikati problematiċi li jibqgħu jintużaw intbagħtet lill-awtoritajiet taċ-ċertifikazzjoni għar-revoka tagħhom.
Sors: opennet.ru