Membrii echipei de securitate Google au publicat o bibliotecă open source, Paranoid, concepută pentru a identifica artefacte criptografice slabe, cum ar fi cheile publice și semnăturile digitale, create în sisteme hardware și software vulnerabile (HSM). Codul este scris în Python și distribuit sub licența Apache 2.0.
Proiectul poate fi util pentru evaluarea indirectă a utilizării algoritmilor și bibliotecilor care au lacune și vulnerabilități cunoscute care afectează fiabilitatea cheilor generate și a semnăturilor digitale, dacă artefactele care sunt verificate sunt generate de hardware inaccesibil sau de componente închise care sunt o cutie neagră. Biblioteca poate analiza, de asemenea, seturi de numere pseudoaleatoare pentru fiabilitatea generatorului lor și, dintr-o colecție mare de artefacte, poate identifica probleme necunoscute anterior care decurg din erori de programare sau din utilizarea generatoarelor de numere pseudoaleatoare nesigure.
При проверке при помощи предложенной библиотеки содержимого публичного лога CT (Certificate Transparency), включающего сведения о более чем 7 миллиардах сертификатов, не выявлено проблемных открытых ключей на основе эллиптических кривых (EC) и цифровых подписей на базе алгоритма ECDSA, но найдены проблемные открытые ключи на базе алгоритма RSA. В частности, выявлено 3586 ненадёжных ключей, сгенерированных кодом с неисправленной уязвимостью CVE-2008-0166 в OpenSSL-пакете для Debian, 2533 ключей, связанных с уязвимостью CVE-2017-15361 в библиотеке Infineon, и 1860 ключей с уязвимостью, связанной с поиском наибольшего общего делителя (GCD). Информация об остающихся в обиходе проблемных сертификатах направлена удостоверяющим центрам для их отзыва.
Sursa: opennet.ru
