Google 安全團隊的成員發布了一個開源程式庫 Paranoid,旨在識別在易受攻擊的硬體 (HSM) 和軟體系統中創建的弱加密工件,例如公鑰和數位簽章。 該程式碼是用 Python 編寫的,並根據 Apache 2.0 許可證分發。
如果正在驗證的工件是由無法驗證的硬體或代表封閉元件產生的,則該專案可能有助於間接評估具有已知差距和漏洞的演算法和函式庫的使用,這些差距和漏洞會影響產生的金鑰和數位簽名的可靠性。黑盒子。 該庫還可以分析偽隨機數集的生成器可靠性,並從大量工件中識別由於程式錯誤或使用不可靠的偽隨機數產生器而引起的先前未知的問題。
當使用所提出的庫檢查CT(憑證透明度)公共日誌的內容(其中包含超過7億個憑證的資訊)時,沒有發現基於橢圓曲線(EC)的公鑰和基於ECDSA演算法的數位簽章有問題,但是基於RSA演算法發現了有問題的公鑰。 特別是,我們發現了3586 個不受信任的金鑰,這些金鑰是由Debian 的OpenSSL 軟體包中具有未修復漏洞CVE-2008-0166 的程式碼產生的,2533 個金鑰與Infineon 庫中的CVE -2017-15361 漏洞相關,還有1860 個金鑰與與搜尋最大公約數 (GCD) 相關的漏洞。 有關仍在使用的有問題證書的資訊已發送至證書頒發機構以供撤銷。
來源: opennet.ru