Google Xavfsizlik jamoasi a'zolari zaif apparat (HSM) va dasturiy ta'minot tizimlarida yaratilgan ochiq kalitlar va raqamli imzolar kabi zaif kriptografik artefaktlarni aniqlash uchun mo'ljallangan "Paranoid" ochiq manba kutubxonasini nashr etdilar. Kod Python-da yozilgan va Apache 2.0 litsenziyasi ostida tarqatiladi.
Loyiha, agar tekshirilayotgan artefaktlar kirish imkoni bo'lmagan apparat yoki qora quti bo'lgan yopiq komponentlar tomonidan yaratilgan bo'lsa, ishlab chiqarilgan kalitlar va raqamli imzolarning ishonchliligiga ta'sir qiluvchi ma'lum bo'shliqlar va zaifliklarga ega bo'lgan algoritmlar va kutubxonalardan foydalanishni bilvosita baholash uchun foydali bo'lishi mumkin. Kutubxona, shuningdek, psevdor tasodifiy raqamlar to'plamini ularning generatorining ishonchliligi uchun tahlil qilishi va ko'plab artefaktlar to'plamidan dasturlash xatolaridan yoki ishonchsiz psevdor tasodifiy sonlar generatorlaridan foydalanishdan kelib chiqadigan ilgari noma'lum muammolarni aniqlashi mumkin.
Taklif etilayotgan kutubxonadan 7 milliarddan ortiq sertifikatlar haqidagi ma'lumotlarni o'z ichiga olgan CT (Sertifikatlarning shaffofligi) umumiy jurnali mazmunini tekshirish uchun foydalanilganda, elliptik egri chiziqlar (EC) va ECDSA algoritmiga asoslangan raqamli imzolarga asoslangan muammoli ochiq kalitlar topilmadi. , lekin muammoli ochiq kalitlar RSA algoritmi asosida topildi. Xususan, Debian uchun OpenSSL paketidagi CVE-3586-2008 tuzatilmagan zaifligi bilan kod tomonidan yaratilgan 0166 ta ishonchsiz kalitlar, Infineon kutubxonasidagi CVE-2533-2017 zaifligi bilan bogβlangan 15361 ta kalit va 1860 ta kalit aniqlandi. eng katta umumiy bo'luvchini (GCD) qidirish bilan bog'liq zaiflik. Foydalanishda qolgan muammoli sertifikatlar to'g'risidagi ma'lumotlar ularni bekor qilish uchun sertifikatlashtirish organlariga yuborildi.
Manba: opennet.ru