ਗੂਗਲ ਨੇ ਸਮੱਸਿਆ ਵਾਲੇ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਕੁੰਜੀਆਂ ਦੀ ਪਛਾਣ ਕਰਨ ਲਈ ਇੱਕ ਲਾਇਬ੍ਰੇਰੀ ਪ੍ਰਕਾਸ਼ਿਤ ਕੀਤੀ ਹੈ

Участники Google Security Team опубликовали открытую библиотеку Paranoid, предназначенную для выявления ненадёжных криптографических артефактов, таких как открытые ключи и цифровые подписи, созданных в уязвимых аппаратных (HSM) и программных системах. Код написан на языке Python и распространяется под лицензией Apache 2.0.

Проект может оказаться полезен для косвенной оценки применения алгоритмов и библиотек, в которых имеются известные бреши и уязвимости, влияющие на надёжность формируемых ключей и цифровых подписей, если проверяемые артефакты генерируются недоступными для проверки аппаратным обеспечением или закрытыми компонентами, представляющими собой чёрный ящик. Библиотека также может анализировать наборы псевдослучайных чисел на предмет надёжности их генератора, и по большой коллекции артефактов выявлять неизвестные ранее проблемы, возникающие из-за ошибок при программировании или использовании ненадёжных генераторов псевдослучайных чисел.

При проверке при помощи предложенной библиотеки содержимого публичного лога CT (Certificate Transparency), включающего сведения о более чем 7 миллиардах сертификатов, не выявлено проблемных открытых ключей на основе эллиптических кривых (EC) и цифровых подписей на базе алгоритма ECDSA, но найдены проблемные открытые ключи на базе алгоритма RSA. В частности, выявлено 3586 ненадёжных ключей, сгенерированных кодом с неисправленной уязвимостью CVE-2008-0166 в OpenSSL-пакете для Debian, 2533 ключей, связанных с уязвимостью CVE-2017-15361 в библиотеке Infineon, и 1860 ключей с уязвимостью, связанной с поиском наибольшего общего делителя (GCD). Информация об остающихся в обиходе проблемных сертификатах направлена удостоверяющим центрам для их отзыва.

ਸਰੋਤ: opennet.ru