สมาชิกของทีมรักษาความปลอดภัยของ Google ได้เผยแพร่ไลบรารีโอเพ่นซอร์สชื่อ Paranoid ซึ่งออกแบบมาเพื่อระบุสิ่งประดิษฐ์การเข้ารหัสที่ไม่รัดกุม เช่น กุญแจสาธารณะและลายเซ็นดิจิทัล ที่สร้างขึ้นในฮาร์ดแวร์ที่มีช่องโหว่ (HSM) และระบบซอฟต์แวร์ รหัสนี้เขียนด้วยภาษา Python และเผยแพร่ภายใต้ลิขสิทธิ์ Apache 2.0
โครงการอาจมีประโยชน์สำหรับการประเมินทางอ้อมโดยใช้อัลกอริธึมและไลบรารีที่ทราบช่องว่างและช่องโหว่ที่ส่งผลต่อความน่าเชื่อถือของคีย์ที่สร้างขึ้นและลายเซ็นดิจิทัล หากสิ่งประดิษฐ์ที่ได้รับการตรวจสอบถูกสร้างขึ้นโดยฮาร์ดแวร์ที่ไม่สามารถตรวจสอบได้ หรือโดยส่วนประกอบแบบปิดที่เป็นตัวแทนของ กล่องดำ. ห้องสมุดยังสามารถวิเคราะห์ชุดของตัวเลขสุ่มเทียมเพื่อความน่าเชื่อถือของตัวสร้าง และจากคอลเลกชันจำนวนมากของสิ่งประดิษฐ์ ระบุปัญหาที่ไม่ทราบมาก่อนซึ่งเกิดจากข้อผิดพลาดในการเขียนโปรแกรมหรือการใช้ตัวสร้างตัวเลขสุ่มเทียมที่ไม่น่าเชื่อถือ
เมื่อใช้ไลบรารีที่นำเสนอเพื่อตรวจสอบเนื้อหาของบันทึกสาธารณะ CT (ความโปร่งใสของใบรับรอง) ซึ่งรวมถึงข้อมูลเกี่ยวกับใบรับรองมากกว่า 7 พันล้านใบ ไม่พบคีย์สาธารณะที่เป็นปัญหาตามเส้นโค้งวงรี (EC) และลายเซ็นดิจิทัลตามอัลกอริทึม ECDSA แต่พบกุญแจสาธารณะที่มีปัญหาตามอัลกอริทึม RSA โดยเฉพาะอย่างยิ่ง มีการระบุคีย์ที่ไม่น่าเชื่อถือ 3586 คีย์ซึ่งสร้างขึ้นโดยโค้ดที่มีช่องโหว่ที่ยังไม่ได้แก้ไข CVE-2008-0166 ในแพ็คเกจ OpenSSL สำหรับ Debian, 2533 คีย์ที่เกี่ยวข้องกับช่องโหว่ CVE-2017-15361 ในไลบรารี Infineon และ 1860 คีย์ที่มี ช่องโหว่ที่เกี่ยวข้องกับการค้นหาตัวหารร่วมมาก (GCD) ข้อมูลเกี่ยวกับใบรับรองที่มีปัญหาซึ่งยังคงใช้งานอยู่ถูกส่งไปยังหน่วยงานออกใบรับรองเพื่อเพิกถอน
ที่มา: opennet.ru