Členovia bezpečnostného tímu Google zverejnili knižnicu s otvoreným zdrojovým kódom Paranoid, ktorá je navrhnutá na identifikáciu slabých kryptografických artefaktov, ako sú verejné kľúče a digitálne podpisy, vytvorené v zraniteľných hardvérových (HSM) a softvérových systémoch. Kód je napísaný v jazyku Python a distribuovaný pod licenciou Apache 2.0.
Projekt môže byť užitočný na nepriame hodnotenie použitia algoritmov a knižníc, ktoré majú známe medzery a zraniteľnosti ovplyvňujúce spoľahlivosť generovaných kľúčov a digitálnych podpisov, ak sú overované artefakty generované hardvérom, ktorý nemožno overiť, alebo uzavretými komponentmi, ktoré predstavujú čierna krabica. Knižnica môže tiež analyzovať súbory pseudonáhodných čísel z hľadiska spoľahlivosti ich generátora a z veľkej zbierky artefaktov identifikovať predtým neznáme problémy vyplývajúce z programovacích chýb alebo používania nespoľahlivých generátorov pseudonáhodných čísel.
При проверке при помощи предложенной библиотеки содержимого публичного лога CT (Certificate Transparency), включающего сведения о более чем 7 миллиардах сертификатов, не выявлено проблемных открытых ключей на основе эллиптических кривых (EC) и цифровых подписей на базе алгоритма ECDSA, но найдены проблемные открытые ключи на базе алгоритма RSA. В частности, выявлено 3586 ненадёжных ключей, сгенерированных кодом с неисправленной уязвимостью CVE-2008-0166 в OpenSSL-пакете для Debian, 2533 ключей, связанных с уязвимостью CVE-2017-15361 в библиотеке Infineon, и 1860 ключей с уязвимостью, связанной с поиском наибольшего общего делителя (GCD). Информация об остающихся в обиходе проблемных сертификатах направлена удостоверяющим центрам для их отзыва.
Zdroj: opennet.ru
