Учасники Google Security Team опублікували відкриту бібліотеку Paranoid, призначену для виявлення ненадійних криптографічних артефактів, таких як відкриті ключі та цифрові підписи, створені у вразливих апаратних (HSM) та програмних системах. Код написаний мовою Python та поширюється під ліцензією Apache 2.0.
Проект може бути корисним для непрямої оцінки застосування алгоритмів і бібліотек, в яких є відомі проломи і вразливості, що впливають на надійність формованих ключів і цифрових підписів, якщо артефакти, що перевіряються, генеруються недоступними для перевірки апаратним забезпеченням або закритими компонентами, що являють собою чорний ящик. Бібліотека також може аналізувати набори псевдовипадкових чисел щодо надійності їх генератора, і з великої колекції артефактів виявляти невідомі раніше проблеми, що виникають через помилок при програмуванні чи використанні ненадійних генераторів псевдовипадкових чисел.
При перевірці за допомогою запропонованої бібліотеки вмісту публічного лога CT (Certificate Transparency), що включає відомості про більш ніж 7 мільярдів сертифікатів, не виявлено проблемних відкритих ключів на основі еліптичних кривих (EC) та цифрових підписів на базі алгоритму ECDSA, але знайдено проблемні відкриті ключі на Основу алгоритму RSA. Зокрема, виявлено 3586 ненадійних ключів, згенерованих кодом з невиправленою вразливістю CVE-2008-0166 в OpenSSL-пакеті для Debian, 2533 ключів, пов'язаних з вразливістю CVE-2017-15361 в бібліотеці Infineon, і більше спільного дільника (GCD). Інформація про проблемні сертифікати, що залишаються в побуті, направлена посвідчувальним центрам для їх відкликання.
Джерело: opennet.ru