谷歌最近正式开源了Paranoid,这是一个用于识别密码工件中常见漏洞的项目。Paranoid支持测试多种密码制品,例如,包括数字签名、通用伪随机数和公钥,以识别由编程错误或使用弱专有随机数生成器引起的问题。根据谷歌的官方声明,Paranoid可以检查任何工件,甚至是那些由未知实现的系统生成的工件(谷歌称它们为“黑匣子”,其源代码无法检查)。工件可能由不是由我们自己的工具(例如Tink)或我们可以使用Wycheproof检查和测试的库生成的黑盒生成。不幸的是,虽然不够安全,但有时我们最终会依赖黑匣子生成的伪影Google使用Paranoid检查证书透明度(CT)中的加密伪影——其中包含超过70亿个已颁发的网站证书——并发现数以千计的证书受到关键和高严重性RSA公钥漏洞。这些证书中的大多数已经过期或被吊销。谷歌开源图书馆不仅是为了让其他人使用它,也是为了增加透明度和接受外部贡献。希望随着研究人员发现并报告加密漏洞,该检查将被添加到库中。这使谷歌和其他公司能够快速应对新威胁。Paranoid项目包含对ECDSA签名以及RSA和EC公钥的检查,并由Google安全团队积极维护。该项目还旨在简化计算资源的使用。检查必须足够快以针对大量工件运行,并且必须在真实世界的生产环境中有意义。
