Členovia bezpečnostného tímu Google zverejnili knižnicu s otvoreným zdrojovým kódom Paranoid, ktorá je navrhnutá na identifikáciu slabých kryptografických artefaktov, ako sú verejné kľúče a digitálne podpisy, vytvorené v zraniteľných hardvérových (HSM) a softvérových systémoch. Kód je napísaný v jazyku Python a distribuovaný pod licenciou Apache 2.0.
Projekt môže byť užitočný na nepriame hodnotenie použitia algoritmov a knižníc, ktoré majú známe medzery a zraniteľnosti ovplyvňujúce spoľahlivosť generovaných kľúčov a digitálnych podpisov, ak sú overované artefakty generované hardvérom, ktorý nemožno overiť, alebo uzavretými komponentmi, ktoré predstavujú čierna krabica. Knižnica môže tiež analyzovať súbory pseudonáhodných čísel z hľadiska spoľahlivosti ich generátora a z veľkej zbierky artefaktov identifikovať predtým neznáme problémy vyplývajúce z programovacích chýb alebo používania nespoľahlivých generátorov pseudonáhodných čísel.
Pri použití navrhovanej knižnice na kontrolu obsahu verejného denníka CT (Certificate Transparency), ktorý obsahuje informácie o viac ako 7 miliardách certifikátov, neboli nájdené žiadne problematické verejné kľúče založené na eliptických krivkách (EC) a digitálnych podpisoch založených na algoritme ECDSA. , ale na základe algoritmu RSA sa našli problematické verejné kľúče. Konkrétne bolo identifikovaných 3586 2008 nedôveryhodných kľúčov, ktoré boli vygenerované kódom s neopravenou zraniteľnosťou CVE-0166-2533 v balíku OpenSSL pre Debian, 2017 15361 kľúčov spojených so zraniteľnosťou CVE-1860-XNUMX v knižnici Infineon a XNUMX XNUMX kľúčov s zraniteľnosť spojená s hľadaním najväčšieho spoločného deliteľa (GCD). Informácie o problematických certifikátoch, ktoré sa naďalej používajú, boli odoslané certifikačným autoritám na ich zrušenie.
Zdroj: opennet.ru