Google Xavfsizlik jamoasi a'zolari zaif apparat (HSM) va dasturiy ta'minot tizimlarida yaratilgan ochiq kalitlar va raqamli imzolar kabi zaif kriptografik artefaktlarni aniqlash uchun mo'ljallangan "Paranoid" ochiq manba kutubxonasini nashr etdilar. Kod Python-da yozilgan va Apache 2.0 litsenziyasi ostida tarqatiladi.
Loyiha, agar tekshirilayotgan artefaktlar kirish imkoni bo'lmagan apparat yoki qora quti bo'lgan yopiq komponentlar tomonidan yaratilgan bo'lsa, ishlab chiqarilgan kalitlar va raqamli imzolarning ishonchliligiga ta'sir qiluvchi ma'lum bo'shliqlar va zaifliklarga ega bo'lgan algoritmlar va kutubxonalardan foydalanishni bilvosita baholash uchun foydali bo'lishi mumkin. Kutubxona, shuningdek, psevdor tasodifiy raqamlar to'plamini ularning generatorining ishonchliligi uchun tahlil qilishi va ko'plab artefaktlar to'plamidan dasturlash xatolaridan yoki ishonchsiz psevdor tasodifiy sonlar generatorlaridan foydalanishdan kelib chiqadigan ilgari noma'lum muammolarni aniqlashi mumkin.
Taklif qilingan kutubxonadan foydalanib, 7 milliarddan ortiq sertifikatlar haqidagi ma'lumotlarni o'z ichiga olgan ommaviy CT (Sertifikat shaffofligi) jurnalining tarkibini tekshirishda, elliptik egri chiziqlarga (EC) asoslangan muammoli ochiq kalitlar yoki ECDSA algoritmiga asoslangan raqamli imzolar topilmadi, ammo RSA algoritmiga asoslangan muammoli ochiq kalitlar topildi. Xususan, OpenSSL paketidagi yamalmagan CVE-2008-0166 zaifligiga ega kod tomonidan yaratilgan 3586 ta zaif kalit aniqlandi. Debian, Infineon kutubxonasidagi CVE-2017-15361 zaifligiga tegishli 2533 ta kalit va eng katta umumiy bo'luvchi (GCD) qidiruvi bilan bog'liq zaiflikka ega 1860 ta kalit. Qolgan ta'sirlangan sertifikatlar haqidagi ma'lumotlar bekor qilish uchun sertifikatlashtirish organlariga yuborildi.

Manba: opennet.ru
