گوگل سيڪيورٽي ٽيم جي ميمبرن هڪ اوپن سورس لائبريري شايع ڪئي آهي، Paranoid، جيڪا ڪمزور ڪرپٽوگرافڪ نموني جي سڃاڻپ ڪرڻ لاءِ ٺهيل آهي، جهڙوڪ عوامي چابيون ۽ ڊجيٽل دستخط، جيڪي ڪمزور هارڊويئر (HSM) ۽ سافٽ ويئر سسٽم ۾ ٺاهيا ويا آهن. ڪوڊ Python ۾ لکيل آهي ۽ Apache 2.0 لائسنس تحت ورهايو ويو آهي.
پروجيڪٽ اڻ سڌي طرح الورورٿمز ۽ لائبريرين جي استعمال جو جائزو وٺڻ لاءِ ڪارآمد ٿي سگھي ٿو جيڪي ڄاڻن خالن ۽ ڪمزورين کي ڄاڻن ٿيون جيڪي ٺاهيل ڪيز ۽ ڊجيٽل دستخطن جي اعتبار کي متاثر ڪن ٿيون جيڪڏهن اهي نمونا ٺاهيا ويا آهن جن جي تصديق ڪئي پئي وڃي هارڊويئر جي ذريعي جيڪا تصديق نه ٿي ڪري سگهجي يا بند ٿيل حصن جي ذريعي جيڪا نمائندگي ڪري ٿي. ڪارو دٻو. لائبريري پڻ پنهنجي جنريٽر جي اعتبار لاءِ pseudorandom نمبرن جي سيٽن جو تجزيو ڪري سگهي ٿي، ۽ نمونن جي هڪ وڏي مجموعن مان، پروگرامنگ جي غلطين يا ناقابل اعتبار pseudorandom نمبر جنريٽر جي استعمال سان پيدا ٿيندڙ اڳ ۾ اڻڄاتل مسئلن جي نشاندهي ڪري سگهي ٿي.
جڏهن CT (سرٽيفڪيٽ شفافيت) پبلڪ لاگ جي مواد کي جانچڻ لاءِ تجويز ڪيل لائبريري استعمال ڪندي، جنهن ۾ 7 بلين کان وڌيڪ سرٽيفڪيٽن جي معلومات شامل آهي، اي سي ڊي ايس اي الورورٿم جي بنياد تي ايليپيٽڪ وکر (EC) ۽ ڊجيٽل دستخط جي بنياد تي ڪو به مسئلو عوامي ڪيچ نه مليا. ، پر RSA الگورتھم جي بنياد تي مشڪلاتي عوامي چابيون مليون. خاص طور تي، 3586 ناقابل اعتماد چابيون جي سڃاڻپ ڪئي وئي جيڪي ڪوڊ ذريعي ٺاهيا ويا غير مقرر ٿيل خطرن سان CVE-2008-0166 OpenSSL پيڪيج ۾ Debian لاءِ، 2533 چاٻيون CVE-2017-15361 سان لاڳاپيل آهن انفائنون لائبريري، ۽ ڪيچ سان سڀ کان وڏو عام تقسيم ڪندڙ (GCD) جي ڳولا سان لاڳاپيل نقصان. مشڪلاتي سرٽيفڪيٽن جي باري ۾ معلومات جيڪا استعمال ۾ رهي ٿي انهن جي منسوخي لاءِ سرٽيفڪيشن اختيارين ڏانهن موڪلي وئي آهي.
جو ذريعو: opennet.ru