Google సెక్యూరిటీ టీమ్ సభ్యులు ఓపెన్ సోర్స్ లైబ్రరీ, Paranoid, పబ్లిక్ కీలు మరియు డిజిటల్ సంతకాలు వంటి బలహీనమైన క్రిప్టోగ్రాఫిక్ కళాఖండాలను గుర్తించడానికి రూపొందించబడిన ఒక ఓపెన్ సోర్స్ లైబ్రరీని ప్రచురించారు, ఇది హాని కలిగించే హార్డ్వేర్ (HSM) మరియు సాఫ్ట్వేర్ సిస్టమ్లలో సృష్టించబడింది. కోడ్ పైథాన్లో వ్రాయబడింది మరియు Apache 2.0 లైసెన్స్ క్రింద పంపిణీ చేయబడింది.
వెరిఫై చేయబడని హార్డ్వేర్ లేదా క్లోజ్డ్ కాంపోనెంట్ల ద్వారా వెరిఫై చేయబడే ఆర్టిఫాక్ట్లు జెనరేట్ చేయబడినట్లయితే, జెనరేట్ చేయబడిన కీలు మరియు డిజిటల్ సిగ్నేచర్ల విశ్వసనీయతను ప్రభావితం చేసే అల్గారిథమ్లు మరియు లైబ్రరీల వినియోగాన్ని పరోక్షంగా అంచనా వేయడానికి ప్రాజెక్ట్ ఉపయోగపడుతుంది. నల్ల పెట్టి. లైబ్రరీ వారి జనరేటర్ యొక్క విశ్వసనీయత కోసం సూడోరాండమ్ సంఖ్యల సెట్లను కూడా విశ్లేషించగలదు మరియు కళాఖండాల యొక్క పెద్ద సేకరణ నుండి, ప్రోగ్రామింగ్ లోపాలు లేదా నమ్మదగని సూడోరాండమ్ నంబర్ జనరేటర్ల వాడకం వల్ల ఉత్పన్నమయ్యే గతంలో తెలియని సమస్యలను గుర్తించవచ్చు.
7 బిలియన్ల కంటే ఎక్కువ సర్టిఫికేట్ల గురించి సమాచారాన్ని కలిగి ఉన్న CT (సర్టిఫికేట్ పారదర్శకత) పబ్లిక్ లాగ్లోని కంటెంట్లను తనిఖీ చేయడానికి ప్రతిపాదిత లైబ్రరీని ఉపయోగిస్తున్నప్పుడు, దీర్ఘవృత్తాకార వక్రతలు (EC) మరియు ECDSA అల్గారిథమ్ ఆధారంగా డిజిటల్ సంతకాలు ఆధారంగా సమస్యాత్మక పబ్లిక్ కీలు కనుగొనబడలేదు , అయితే సమస్యాత్మక పబ్లిక్ కీలు RSA అల్గారిథమ్ ఆధారంగా కనుగొనబడ్డాయి. ప్రత్యేకించి, డెబియన్ కోసం ఓపెన్ఎస్ఎస్ఎల్ ప్యాకేజీలో అన్ఫిక్స్డ్ వల్నరబిలిటీ CVE-3586-2008తో కోడ్ ద్వారా రూపొందించబడిన 0166 అవిశ్వసనీయ కీలు గుర్తించబడ్డాయి, CVE-2533-2017 దుర్బలత్వంతో అనుబంధించబడిన 15361 కీలు Infineon లైబ్రరీ మరియు keys1860, aXNUMX గ్రేటెస్ట్ కామన్ డివైజర్ (GCD) కోసం శోధనతో అనుబంధించబడిన దుర్బలత్వం. ఉపయోగంలో ఉన్న సమస్యాత్మక సర్టిఫికేట్ల గురించిన సమాచారం వాటి రద్దు కోసం ధృవీకరణ అధికారులకు పంపబడింది.
మూలం: opennet.ru