Anggota Tim Kaamanan Google geus medalkeun perpustakaan open source, Paranoid, dirancang pikeun ngaidentipikasi artefak cryptographic lemah, kayaning konci publik jeung tanda tangan digital, dijieun dina hardware rentan (HSM) jeung sistem software. Kodeu ditulis dina Python sareng disebarkeun dina lisénsi Apache 2.0.
Proyék éta tiasa mangpaat pikeun sacara henteu langsung ngevaluasi pamakean algoritma sareng perpustakaan anu terang jurang sareng kerentanan anu mangaruhan réliabilitas konci anu dibangkitkeun sareng tanda tangan digital upami artefak anu diverifikasi dihasilkeun ku hardware anu teu tiasa diverifikasi atanapi ku komponén katutup anu ngagambarkeun a kotak hideung. perpustakaan ogé bisa nganalisis susunan angka pseudorandom pikeun reliabiliti generator maranéhna, sarta ti koleksi badag tina artefak, ngaidentipikasi masalah saméméhna kanyahoan timbul tina kasalahan programming atawa pamakéan generator angka pseudorandom teu dipercaya.
Nalika nganggo perpustakaan anu diusulkeun pikeun pariksa eusi log umum CT (Sertifikat Transparansi), anu kalebet inpormasi ngeunaan langkung ti 7 milyar sertipikat, henteu aya konci umum anu bermasalah dumasar kana kurva elliptic (EC) sareng tanda tangan digital dumasar kana algoritma ECDSA. , Tapi konci publik masalah kapanggih dina dumasar kana algoritma RSA. Khususna, 3586 konci anu teu dipercaya diidentifikasi anu didamel ku kode kalayan kerentanan anu teu tetep CVE-2008-0166 dina pakét OpenSSL pikeun Debian, 2533 konci anu aya hubunganana sareng kerentanan CVE-2017-15361 dina perpustakaan Infineon, sareng 1860 konci kalayan konci. kerentanan pakait sareng milarian divisor umum greatest (GCD). Inpormasi ngeunaan sertipikat masalah anu tetep dianggo parantos dikirim ka otoritas sertifikasi pikeun panyabutanana.
sumber: opennet.ru