Medlemmer av Googles sikkerhetsteam har publisert et åpen kildekode-bibliotek, Paranoid, designet for å identifisere svake kryptografiske artefakter, som offentlige nøkler og digitale signaturer, laget i sårbar maskinvare (HSM) og programvaresystemer. Koden er skrevet i Python og distribuert under Apache 2.0-lisensen.
Prosjektet kan være nyttig for indirekte å vurdere bruken av algoritmer og biblioteker som har kjente hull og sårbarheter som påvirker påliteligheten til genererte nøkler og digitale signaturer dersom artefaktene som verifiseres er generert av maskinvare som ikke kan verifiseres eller av lukkede komponenter som representerer en svart boks. Biblioteket kan også analysere sett med pseudotilfeldige tall for påliteligheten til generatoren deres, og fra en stor samling artefakter identifisere tidligere ukjente problemer som oppstår fra programmeringsfeil eller bruk av upålitelige pseudorandom-tallgeneratorer.
Ved bruk av det foreslåtte biblioteket for å sjekke innholdet i den offentlige CT-loggen (Certificate Transparency), som inkluderer informasjon om mer enn 7 milliarder sertifikater, ble det ikke funnet noen problematiske offentlige nøkler basert på elliptiske kurver (EC) og digitale signaturer basert på ECDSA-algoritmen , men problematiske offentlige nøkler ble funnet på basert på RSA-algoritmen. Spesielt ble det identifisert 3586 2008 ikke-klarerte nøkler som ble generert av kode med den uløste sårbarheten CVE-0166-2533 i OpenSSL-pakken for Debian, 2017 15361 nøkler assosiert med CVE-1860-XNUMX-sårbarheten i Infineon-biblioteket og XNUMX XNUMX nøkler med a. sårbarhet knyttet til søket etter den største felles divisor (GCD). Informasjon om problematiske sertifikater som fortsatt er i bruk er sendt til sertifiseringsmyndighetene for tilbakekall.
Kilde: opennet.ru