Ang mga miyembro ng Google Security Team ay nag-publish ng isang open-source na library, ang Paranoid, na idinisenyo upang makakita ng mga mahihinang cryptographic artifact, gaya ng mga pampublikong key at digital signature, na ginawa sa mga vulnerable na hardware (HSM) at software system. Ang code ay nakasulat sa Python at ipinamahagi sa ilalim ng lisensya ng Apache 2.0.
Ang proyekto ay maaaring maging kapaki-pakinabang para sa hindi direktang pagtatasa sa paggamit ng mga algorithm at library na naglalaman ng mga kilalang flaws at kahinaan na nakakaapekto sa pagiging maaasahan ng mga nabuong key at mga digital na lagda, kung ang mga artifact na sinusuri ay nabuo ng hindi naa-access na hardware o sarado, black-box na mga bahagi. Maaari ding pag-aralan ng library ang mga pseudorandom number set para sa pagiging maaasahan ng kanilang mga generator at, gamit ang isang malaking koleksyon ng mga artifact, tukuyin ang mga dati nang hindi kilalang isyu na nagmumula sa mga error sa programming o ang paggamit ng hindi maaasahang pseudorandom number generators.
Nang suriin ang mga nilalaman ng pampublikong CT (Certificate Transparency) log, na kinabibilangan ng impormasyon sa mahigit 7 bilyong sertipiko, gamit ang iminungkahing library, walang nakitang problematikong pampublikong susi batay sa elliptic curves (EC) o mga digital na lagda batay sa ECDSA algorithm, ngunit may natagpuang problematikong pampublikong susi batay sa RSA algorithm. Sa partikular, 3586 na mahinang susi na nabuo ng code na may hindi na-patch na kahinaan na CVE-2008-0166 sa OpenSSL package ang natukoy. Debian, 2533 key na may kaugnayan sa kahinaan ng CVE-2017-15361 sa Infineon library, at 1860 key na may kahinaan na may kaugnayan sa greatest common divisor (GCD) search. Ang impormasyon tungkol sa mga natitirang apektadong sertipiko ay naipadala na sa mga awtoridad sa sertipikasyon para sa pagpapawalang-bisa.
Pinagmulan: opennet.ru
