Medlemmar av Googles säkerhetsteam har publicerat ett bibliotek med öppen källkod, Paranoid, utformat för att identifiera svaga kryptografiska artefakter, såsom offentliga nycklar och digitala signaturer, skapade i sårbar hårdvara (HSM) och mjukvarusystem. Koden är skriven i Python och distribueras under Apache 2.0-licensen.
Projektet kan vara användbart för att indirekt utvärdera användningen av algoritmer och bibliotek som har kända luckor och sårbarheter som påverkar tillförlitligheten hos genererade nycklar och digitala signaturer om artefakterna som verifieras genereras av hårdvara som inte kan verifieras eller av slutna komponenter som representerar en svart låda. Biblioteket kan också analysera uppsättningar av pseudoslumptal för tillförlitligheten hos deras generator, och från en stor samling artefakter identifiera tidigare okända problem som uppstår från programmeringsfel eller användning av opålitliga pseudoslumptalsgeneratorer.
När man använder det föreslagna biblioteket för att kontrollera innehållet i den offentliga CT-loggen (Certificate Transparency), som innehåller information om mer än 7 miljarder certifikat, hittades inga problematiska publika nycklar baserade på elliptiska kurvor (EC) och digitala signaturer baserade på ECDSA-algoritmen , men problematiska publika nycklar hittades på baserat på RSA-algoritmen. I synnerhet identifierades 3586 2008 opålitliga nycklar som genererades av kod med den ofixade sårbarheten CVE-0166-2533 i OpenSSL-paketet för Debian, 2017 15361 nycklar associerade med sårbarheten CVE-1860-XNUMX i Infineon-biblioteket och XNUMX XNUMX nycklar med a sårbarhet i samband med sökandet efter den största gemensamma divisorn (GCD). Information om problematiska certifikat som fortfarande används har skickats till certifieringsmyndigheter för återkallelse.
Källa: opennet.ru