Medlemmar i Googles säkerhetsteam har publicerat ett bibliotek med öppen källkod som heter Paranoid, utformat för att upptäcka svaga kryptografiska artefakter som publika nycklar och digitala signaturer som skapats i sårbara hårdvaru- (HSM) och mjukvarusystem. Koden är skriven i Python och distribueras under Apache 2.0-licensen.
Projektet kan vara användbart för att indirekt utvärdera användningen av algoritmer och bibliotek som har kända brister och sårbarheter som påverkar tillförlitligheten hos genererade nycklar och digitala signaturer, om de artefakter som testas genereras av hårdvara som är oåtkomlig för verifiering eller stängda komponenter som representerar en svart låda. Biblioteket kan också analysera uppsättningar av pseudoslumptal för att säkerställa tillförlitligheten hos deras generator, och med hjälp av en stor samling artefakter identifiera tidigare okända problem som uppstår på grund av programmeringsfel eller användning av otillförlitliga pseudoslumptalgeneratorer.
Vid kontroll av innehållet i den publika CT-loggen (Certificate Transparency), som innehåller information om över 7 miljarder certifikat, med hjälp av det föreslagna biblioteket, hittades inga problematiska publika nycklar baserade på elliptiska kurvor (EC) eller digitala signaturer baserade på ECDSA-algoritmen, men problematiska publika nycklar baserade på RSA-algoritmen hittades. Mer specifikt identifierades 3 586 svaga nycklar genererade av kod med en opatchad sårbarhet CVE-2008-0166 i OpenSSL-paketet. Debian, 2 533 nycklar relaterade till sårbarheten CVE-2017-15361 i Infineon-biblioteket och 1 860 nycklar med en sårbarhet relaterad till sökning efter största gemensamma delare (GCD). Information om de återstående berörda certifikaten har skickats till certifieringsmyndigheter för återkallelse.
Källa: opennet.ru
