Člani Googlove varnostne ekipe so objavili odprtokodno knjižnico Paranoid, zasnovano za prepoznavanje šibkih kriptografskih artefaktov, kot so javni ključi in digitalni podpisi, ustvarjeni v sistemih ranljive strojne opreme (HSM) in programske opreme. Koda je napisana v Pythonu in se distribuira pod licenco Apache 2.0.
Projekt je lahko koristen za posredno ocenjevanje uporabe algoritmov in knjižnic, ki imajo znane vrzeli in ranljivosti, ki vplivajo na zanesljivost ustvarjenih ključev in digitalnih podpisov, če artefakte, ki se preverjajo, ustvari nedostopna strojna oprema ali zaprte komponente, ki so črna skrinjica. Knjižnica lahko tudi analizira nize psevdonaključnih števil glede zanesljivosti njihovega generatorja in iz velike zbirke artefaktov identificira prej neznane težave, ki izhajajo iz programskih napak ali uporabe nezanesljivih generatorjev psevdonaključnih števil.
Pri preverjanju vsebine javnega dnevnika CT (Certificate Transparency) s predlagano knjižnico, ki vključuje informacije o več kot 7 milijardah potrdil, ni bilo najdenih nobenih problematičnih javnih ključev na osnovi eliptičnih krivulj (EC) in digitalnih podpisov na osnovi algoritma ECDSA, vendar so bili problematični javni ključi najdeni na podlagi algoritma RSA. Identificiranih je bilo zlasti 3586 nezaupljivih ključev, ki jih je ustvarila koda z neodpravljeno ranljivostjo CVE-2008-0166 v paketu OpenSSL za Debian, 2533 ključev, povezanih z ranljivostjo CVE-2017-15361 v knjižnici Infineon, in 1860 ključev z ranljivost, povezana z iskanjem največjega skupnega delitelja (GCD). Podatki o problematičnih certifikatih, ki ostajajo v uporabi, so bili poslani overiteljem za njihov preklic.
Vir: opennet.ru