Google Güvenlik Ekibi üyeleri, savunmasız donanım (HSM) ve yazılım sistemlerinde oluşturulan genel anahtarlar ve dijital imzalar gibi zayıf kriptografik yapıları tespit etmek için tasarlanan Paranoid adlı açık kaynaklı bir kitaplık yayınladı. Kod Python'da yazılmıştır ve Apache 2.0 lisansı altında dağıtılmaktadır.
Proje, doğrulanan yapıtların doğrulanamayan donanım tarafından veya bir veriyi temsil eden kapalı bileşenler tarafından üretilmesi durumunda, oluşturulan anahtarların ve dijital imzaların güvenilirliğini etkileyen bilinen boşluklara ve güvenlik açıklarına sahip algoritmaların ve kitaplıkların kullanımının dolaylı olarak değerlendirilmesi için yararlı olabilir. siyah kutu. Kütüphane ayrıca, oluşturucularının güvenilirliği için sözde rasgele sayı kümelerini analiz edebilir ve geniş bir yapı koleksiyonundan, programlama hatalarından veya güvenilmez sözde rasgele sayı oluşturucuların kullanımından kaynaklanan önceden bilinmeyen sorunları belirleyebilir.
7 milyardan fazla sertifika hakkında bilgi içeren CT (Sertifika Şeffaflığı) genel günlüğünün içeriğini kontrol etmek için önerilen kitaplık kullanıldığında, eliptik eğrilere (EC) dayalı sorunlu ortak anahtarlar ve ECDSA algoritmasına dayalı dijital imzalar bulunamadı. ancak RSA algoritmasına dayalı olarak sorunlu ortak anahtarlar bulundu. Özellikle, Debian için OpenSSL paketinde düzeltilmemiş CVE-3586-2008 güvenlik açığına sahip kod tarafından oluşturulan 0166 güvenilmeyen anahtar, Infineon kütüphanesinde CVE-2533-2017 güvenlik açığıyla ilişkili 15361 anahtar ve 1860 anahtar tespit edildi. En büyük ortak bölenin (GCD) araştırılmasıyla ilişkili güvenlik açığı. Kullanımda kalan sorunlu sertifikalara ilişkin bilgiler, iptal edilmeleri için sertifika yetkililerine gönderildi.
Kaynak: opennet.ru