谷歌近日宣布开源Paranoid,主要用于识别各种加密产品中的漏洞。该库支持测试多种类型的密码产品,例如数字签名、通用伪随机数和公钥,以识别由编程错误或使用弱专有随机数生成器引起的问题。Paranoid项目可以检测任意加密产品,以及未知实现系统产生的产品(谷歌将此称为“黑匣子”,其特点是无法检查源代码)。项目地址:https://github.com/google/paranoid_crypto随机数生成器中两个著名的、实现特定的漏洞是DUHK(Don'tUseHardcodedKeys)和ROCA(ReturnofCoppersmith'sAttack),两个SSL/TLS在过去5年中广为人知的漏洞。例如,一个跟踪为CVE-2022-26320的错误,一个影响多个佳能和富士打印机系列的加密相关问题,会生成带有易受攻击的RSA密钥的自签名TLS证书。该问题与使用Safezone库的基本加密模块的Rambus有关。谷歌使用来自CertificateTransparency的Paranoid检查包含超过70亿个已发布网站证书的加密产品,并发现数千个条目受到严重和高严重性RSA公钥漏洞的影响。这些证书大部分已经过期或被吊销,其余的则报告为已吊销。Paranoid项目包含对ECDSA签名以及RSA和EC公钥的检查,并由Google安全团队积极维护。这个开源库可供其他人使用,也可以提高透明度,并以对现有资源进行新检查和改进的形式接收来自外部资源的贡献。
