Các thành viên của Nhóm bảo mật Google đã xuất bản một thư viện mã nguồn mở, Paranoid, được thiết kế để xác định các tạo phẩm mật mã yếu, chẳng hạn như khóa chung và chữ ký số, được tạo trong các hệ thống phần cứng và phần mềm dễ bị tấn công (HSM). Mã được viết bằng Python và được phân phối theo giấy phép Apache 2.0.
Dự án có thể hữu ích cho việc đánh giá gián tiếp việc sử dụng các thuật toán và thư viện có lỗ hổng và lỗ hổng đã biết ảnh hưởng đến độ tin cậy của khóa và chữ ký số được tạo nếu các tạo phẩm đang được xác minh được tạo bởi phần cứng không thể được xác minh hoặc bởi các thành phần đóng đại diện cho một hộp đen. Thư viện cũng có thể phân tích các tập hợp số giả ngẫu nhiên về độ tin cậy của trình tạo số và từ một bộ sưu tập lớn các tạo phẩm, xác định các vấn đề chưa biết trước đây phát sinh từ lỗi lập trình hoặc việc sử dụng trình tạo số giả ngẫu nhiên không đáng tin cậy.
Khi sử dụng thư viện được đề xuất để kiểm tra nội dung của nhật ký công khai CT (Tính minh bạch của chứng chỉ), bao gồm thông tin về hơn 7 tỷ chứng chỉ, không tìm thấy khóa công khai nào có vấn đề dựa trên đường cong elip (EC) và chữ ký số dựa trên thuật toán ECDSA , nhưng các khóa công khai có vấn đề đã được tìm thấy dựa trên thuật toán RSA. Cụ thể, 3586 khóa không đáng tin cậy đã được xác định được tạo bằng mã có lỗ hổng chưa được sửa CVE-2008-0166 trong gói OpenSSL dành cho Debian, 2533 khóa liên quan đến lỗ hổng CVE-2017-15361 trong thư viện Infineon và 1860 khóa có lỗ hổng CVE-XNUMX-XNUMX trong thư viện Infineon. lỗ hổng liên quan đến việc tìm kiếm ước chung lớn nhất (GCD). Thông tin về các chứng chỉ có vấn đề vẫn đang được sử dụng đã được gửi đến cơ quan chứng nhận để thu hồi.
Nguồn: opennet.ru