Membrii echipei de securitate Google au publicat o bibliotecă open source, Paranoid, concepută pentru a identifica artefacte criptografice slabe, cum ar fi cheile publice și semnăturile digitale, create în sisteme hardware și software vulnerabile (HSM). Codul este scris în Python și distribuit sub licența Apache 2.0.
Proiectul poate fi util pentru evaluarea indirectă a utilizării algoritmilor și bibliotecilor care au lacune și vulnerabilități cunoscute care afectează fiabilitatea cheilor generate și a semnăturilor digitale, dacă artefactele care sunt verificate sunt generate de hardware inaccesibil sau de componente închise care sunt o cutie neagră. Biblioteca poate analiza, de asemenea, seturi de numere pseudoaleatoare pentru fiabilitatea generatorului lor și, dintr-o colecție mare de artefacte, poate identifica probleme necunoscute anterior care decurg din erori de programare sau din utilizarea generatoarelor de numere pseudoaleatoare nesigure.
La utilizarea bibliotecii propuse pentru a verifica conținutul jurnalului public CT (Certificate Transparency), care include informații despre peste 7 miliarde de certificate, nu au fost găsite chei publice problematice bazate pe curbe eliptice (EC) și semnături digitale bazate pe algoritmul ECDSA. , dar cheile publice problematice au fost găsite pe baza algoritmului RSA. În special, au fost identificate 3586 de chei nesigure care au fost generate de codul cu vulnerabilitatea neremediată CVE-2008-0166 în pachetul OpenSSL pentru Debian, 2533 de chei asociate cu vulnerabilitatea CVE-2017-15361 în biblioteca Infineon și 1860 de chei cu o vulnerabilitatea asociată cu căutarea celui mai mare divizor comun (GCD). Informațiile despre certificatele problematice care rămân în uz au fost trimise autorităților de certificare pentru revocarea acestora.
Sursa: opennet.ru