Leden van het Google-beveiligingsteam hebben een open source-bibliotheek gepubliceerd, Paranoid, ontworpen om zwakke cryptografische artefacten te identificeren, zoals openbare sleutels en digitale handtekeningen, gemaakt in kwetsbare hardware (HSM) en softwaresystemen. De code is geschreven in Python en gedistribueerd onder de Apache 2.0-licentie.
Het project kan nuttig zijn voor het indirect beoordelen van het gebruik van algoritmen en bibliotheken met bekende lacunes en kwetsbaarheden die de betrouwbaarheid van gegenereerde sleutels en digitale handtekeningen beïnvloeden als de artefacten die worden geverifieerd worden gegenereerd door hardware die niet kan worden geverifieerd of door gesloten componenten die een zwarte doos. De bibliotheek kan ook sets pseudo-willekeurige getallen analyseren op de betrouwbaarheid van hun generator, en uit een grote verzameling artefacten voorheen onbekende problemen identificeren die voortkomen uit programmeerfouten of het gebruik van onbetrouwbare generators van pseudo-willekeurige getallen.
Bij het gebruik van de voorgestelde bibliotheek om de inhoud van het openbare CT-logboek (Certificate Transparency), dat informatie bevat over meer dan 7 miljard certificaten, te controleren, zijn er geen problematische openbare sleutels op basis van elliptische curven (EC) en digitale handtekeningen op basis van het ECDSA-algoritme gevonden , maar er werden problematische openbare sleutels gevonden op basis van het RSA-algoritme. In het bijzonder werden 3586 niet-vertrouwde sleutels geïdentificeerd die werden gegenereerd door code met de niet-opgeloste kwetsbaarheid CVE-2008-0166 in het OpenSSL-pakket voor Debian, 2533 sleutels geassocieerd met de kwetsbaarheid CVE-2017-15361 in de Infineon-bibliotheek, en 1860 sleutels met een kwetsbaarheid die verband houdt met de zoektocht naar de grootste gemene deler (GCD). Informatie over problematische certificaten die nog steeds in gebruik zijn, is ter intrekking naar de certificeringsautoriteiten gestuurd.
Bron: opennet.ru