گوگل سيڪيورٽي ٽيم جي ميمبرن هڪ اوپن سورس لائبريري شايع ڪئي آهي، Paranoid، جيڪا ڪمزور ڪرپٽوگرافڪ نموني جي سڃاڻپ ڪرڻ لاءِ ٺهيل آهي، جهڙوڪ عوامي چابيون ۽ ڊجيٽل دستخط، جيڪي ڪمزور هارڊويئر (HSM) ۽ سافٽ ويئر سسٽم ۾ ٺاهيا ويا آهن. ڪوڊ Python ۾ لکيل آهي ۽ Apache 2.0 لائسنس تحت ورهايو ويو آهي.
پروجيڪٽ اڻ سڌي طرح الورورٿمز ۽ لائبريرين جي استعمال جو جائزو وٺڻ لاءِ ڪارآمد ٿي سگھي ٿو جيڪي ڄاڻن خالن ۽ ڪمزورين کي ڄاڻن ٿيون جيڪي ٺاهيل ڪيز ۽ ڊجيٽل دستخطن جي اعتبار کي متاثر ڪن ٿيون جيڪڏهن اهي نمونا ٺاهيا ويا آهن جن جي تصديق ڪئي پئي وڃي هارڊويئر جي ذريعي جيڪا تصديق نه ٿي ڪري سگهجي يا بند ٿيل حصن جي ذريعي جيڪا نمائندگي ڪري ٿي. ڪارو دٻو. لائبريري پڻ پنهنجي جنريٽر جي اعتبار لاءِ pseudorandom نمبرن جي سيٽن جو تجزيو ڪري سگهي ٿي، ۽ نمونن جي هڪ وڏي مجموعن مان، پروگرامنگ جي غلطين يا ناقابل اعتبار pseudorandom نمبر جنريٽر جي استعمال سان پيدا ٿيندڙ اڳ ۾ اڻڄاتل مسئلن جي نشاندهي ڪري سگهي ٿي.
جڏهن سرٽيفڪيٽ ٽرانسپيرنسي (CT) پبلڪ لاگ جي مواد کي جانچيو ويو، جنهن ۾ 7 ارب کان وڌيڪ سرٽيفڪيٽن جي معلومات شامل آهي، تجويز ڪيل لائبريري استعمال ڪندي، ڪو به مسئلو پيدا ڪندڙ پبلڪ ڪيز جيڪي ايلپٽڪ ڪروز (EC) تي ٻڌل نه هئا يا ECDSA الگورتھم تي ٻڌل ڊجيٽل دستخط نه مليا، پر RSA الگورتھم تي ٻڌل مشڪلات پيدا ڪندڙ پبلڪ ڪيز مليا. خاص طور تي، OpenSSL پيڪيج ۾ هڪ غير پيچ ٿيل ڪمزوري CVE-2008-0166 سان ڪوڊ پاران ٺاهيل 3586 ڪمزور ڪيز جي سڃاڻپ ڪئي وئي. Debian، انفائنون لائبريري ۾ CVE-2017-15361 ڪمزوري سان لاڳاپيل 2533 ڪيز، ۽ گريٽيسٽ ڪامن ڊويزنر (GCD) ڳولا سان لاڳاپيل ڪمزوري سان 1860 ڪيز. باقي متاثر ٿيل سرٽيفڪيٽن بابت معلومات منسوخي لاءِ سرٽيفڪيشن اختيارين ڏانهن موڪلي وئي آهي.
جو ذريعو: opennet.ru
