Członkowie zespołu ds. bezpieczeństwa Google opublikowali otwartą bibliotekę Paranoid, przeznaczoną do wykrywania niezaufanych artefaktów kryptograficznych, takich jak klucze publiczne i podpisy cyfrowe utworzone w podatnym na ataki sprzęcie (HSM) i systemach oprogramowania. Kod jest napisany w Pythonie i dystrybuowany na licencji Apache 2.0.
Projekt może być przydatny do pośredniej oceny wykorzystania algorytmów i bibliotek, które mają znane luki i podatności wpływające na niezawodność generowanych kluczy i podpisów cyfrowych, jeśli weryfikowane artefakty są generowane przez sprzęt niedostępny do weryfikacji lub zamknięte komponenty, które są czarną skrzynką. Biblioteka może także analizować zbiory liczb pseudolosowych pod kątem niezawodności ich generatora, a także, korzystając z dużego zbioru artefaktów, identyfikować nieznane wcześniej problemy, które powstają na skutek błędów programistycznych lub stosowania zawodnych generatorów liczb pseudolosowych.
Podczas sprawdzania zawartości dziennika publicznego CT (Certificate Transparency), który zawiera informacje o ponad 7 miliardach certyfikatów, przy użyciu proponowanej biblioteki nie znaleziono problematycznych kluczy publicznych opartych na krzywych eliptycznych (EC) oraz podpisów cyfrowych opartych na algorytmie ECDSA , ale problematyczne klucze publiczne zostały znalezione na podstawie algorytmu RSA. W szczególności zidentyfikowano 3586 kluczy wygenerowanych przez kod z niezałataną luką CVE-2008-0166 w pakiecie OpenSSL dla Debiana, 2533 kluczy powiązanych z luką CVE-2017-15361 w bibliotece Infineon oraz 1860 kluczy z luką CVE-XNUMX-XNUMX luka związana ze znalezieniem największego wspólnego dzielnika (NWD). Informacje o pozostających w użyciu problematycznych certyfikatach przesyłane były do centrów certyfikacji w celu ich unieważnienia.
Źródło: opennet.ru