Google Security Team ၏အဖွဲ့ဝင်များသည် အားနည်းချက်ရှိသော ဟာ့ဒ်ဝဲ (HSM) နှင့် ဆော့ဖ်ဝဲစနစ်များတွင် ဖန်တီးထားသည့် အများသူငှာသော့များနှင့် ဒစ်ဂျစ်တယ်လက်မှတ်များကဲ့သို့သော စိတ်မချရသော လျှို့ဝှက်ကုဒ်ဝှက်ပစ္စည်းများကို ရှာဖွေရန် ဒီဇိုင်းထုတ်ထားသည့် ပွင့်လင်းသောအရင်းအမြစ် Paranoid စာကြည့်တိုက်ကို ထုတ်ဝေလိုက်ပါသည်။ ကုဒ်ကို Python ဖြင့်ရေးသားထားပြီး Apache 2.0 လိုင်စင်အောက်တွင် ဖြန့်ဝေထားသည်။
ထုတ်ပေးထားသောသော့များနှင့် ဒစ်ဂျစ်တယ်လက်မှတ်များ၏ ယုံကြည်စိတ်ချရမှုကို ထိခိုက်စေသည့် ကွက်လပ်နှင့် အားနည်းချက်များရှိသည့် အယ်လဂိုရီသမ်များနှင့် စာကြည့်တိုက်များအသုံးပြုမှုကို သွယ်ဝိုက်အကဲဖြတ်ရန်အတွက် ပရောဂျက်သည် အသုံးဝင်နိုင်သည် black box တစ်ခု။ စာကြည့်တိုက်သည် ၎င်းတို့၏ ဂျင်နရေတာ၏ ယုံကြည်စိတ်ချရမှုအတွက် pseudo-random နံပါတ်များကို ခွဲခြမ်းစိတ်ဖြာနိုင်ပြီး၊ ရှေးဟောင်းပစ္စည်းအစုအဝေးများကို အသုံးပြုကာ ပရိုဂရမ်းမင်းအမှားများ သို့မဟုတ် ယုံကြည်စိတ်ချရသော pseudo-random နံပါတ်ဂျင်နရေတာများကို အသုံးပြုခြင်းကြောင့် ဖြစ်ပေါ်လာသည့် ယခင်က မသိရသေးသည့်ပြဿနာများကို ဖော်ထုတ်နိုင်သည်။
အဆိုပြုထားသည့် စာကြည့်တိုက်ကို အသုံးပြု၍ လက်မှတ်ပေါင်း 7 ဘီလီယံကျော်အကြောင်း အချက်အလက်များ ပါဝင်သော အများသူငှာ မှတ်တမ်း CT (Certificate Transparency) ၏ အကြောင်းအရာများကို စစ်ဆေးသည့်အခါ၊ elliptic curves (EC) ကို အခြေခံ၍ ပြဿနာရှိသော အများသူငှာသော့များနှင့် ECDSA အယ်လဂိုရီသမ်ကို အခြေခံ၍ ဒစ်ဂျစ်တယ် လက်မှတ်များကို တွေ့ရှိခဲ့သည် သို့သော် RSA algorithm ကိုအခြေခံ၍ ပြဿနာရှိသော အများသူငှာသော့များကို တွေ့ရှိခဲ့သည်။ အထူးသဖြင့်၊ Debian အတွက် OpenSSL ပက်ကေ့ဂျ်တွင် မွမ်းမံထားသော အားနည်းချက် CVE-3586-2008 ဖြင့် ကုဒ်ဖြင့် ထုတ်လုပ်ထားသော သော့ 0166 ခု၊ သော့ 2533 ခု၊ Infineon စာကြည့်တိုက်ရှိ အားနည်းချက် CVE-2017-15361 နှင့် သော့ 1860 တို့၊ အကြီးဆုံးဘုံပိုင်းခြားမှု (GCD) ကိုရှာဖွေခြင်းနှင့်ဆက်စပ်သောအားနည်းချက်။ အသုံးပြုနေဆဲ ပြဿနာရှိသော လက်မှတ်များအကြောင်း အချက်အလက်များကို ၎င်းတို့၏ ရုပ်သိမ်းခြင်းအတွက် အသိအမှတ်ပြုဌာနများသို့ ပေးပို့ခဲ့ပါသည်။
source: opennet.ru