Google 正式開源 Paranoid

Google 近日正式開源了 Paranoid ，這是一個用於識別加密製品（cryptographic artifacts）中常見漏洞的專案。

Paranoid 支援測試多個加密製品，其中包括如數字簽名、通用偽隨機數和公鑰，以識別由程式設計錯誤或使用弱的專有隨機數生成器造成的問題。

根據 Google 官方公佈的資訊顯示，Paranoid 可以檢查任何製品，甚至是那些由未知實現的系統（Google 將其稱之為 “黑盒子”，其原始碼無法被檢查）生成的製品。

一個製品可能是由黑盒子生成的，它不是由我們自己的工具（如 Tink）生成的，也不是由我們可以使用 Wycheproof 檢查和測試的庫生成的。雖然不夠安全，但不幸的是，有時我們最終會依賴黑盒子生成的製品

Google 已經使用 Paranoid 檢查了 Certificate Transparency（CT）中的加密製品 —— 其中包含超過 70 億個已簽發的網站證照，並發現了數千個受關鍵和高嚴重性 RSA 公鑰漏洞影響的證照。這些證照中的大多數已經過期或被吊銷。

Google 將該庫開源，不僅是允許其他人使用，也是為了增加透明度，並接受來自外部的貢獻。希望研究人員發現並報告加密漏洞後，將檢查新增到庫中。這樣一來，Google 和其他使用者就可以快速應對新的威脅。

Paranoid 專案包含 ECDSA 簽名以及 RSA 和 EC 公鑰的檢查，並由 Google 安全團隊積極維護。該專案還旨在減輕對計算資源的使用。檢查的速度必須足夠快，以便針對大量的製品執行，並且必須在現實世界的生產環境中有意義。