Google 正式開源 Paranoid

夢共裡醉發表於2022-11-05
Google 近日正式開源了 Paranoid ,這是一個用於識別加密製品(cryptographic artifacts)中常見漏洞的專案。

Google 正式開源 ParanoidGoogle 正式開源 Paranoid

Paranoid 支援測試多個加密製品,其中包括如數字簽名、通用偽隨機數和公鑰,以識別由程式設計錯誤或使用弱的專有隨機數生成器造成的問題。

根據 Google 官方公佈的資訊顯示,Paranoid 可以檢查任何製品,甚至是那些由未知實現的系統(Google 將其稱之為 “黑盒子”,其原始碼無法被檢查)生成的製品。

一個製品可能是由黑盒子生成的,它不是由我們自己的工具(如 Tink)生成的,也不是由我們可以使用 Wycheproof 檢查和測試的庫生成的。雖然不夠安全,但不幸的是,有時我們最終會依賴黑盒子生成的製品

Google 已經使用 Paranoid 檢查了 Certificate Transparency(CT)中的加密製品 —— 其中包含超過 70 億個已簽發的網站證照,並發現了數千個受關鍵和高嚴重性 RSA 公鑰漏洞影響的證照。這些證照中的大多數已經過期或被吊銷。

Google 將該庫開源,不僅是允許其他人使用,也是為了增加透明度,並接受來自外部的貢獻。希望研究人員發現並報告加密漏洞後,將檢查新增到庫中。這樣一來,Google 和其他使用者就可以快速應對新的威脅。

Paranoid 專案包含 ECDSA 簽名以及 RSA 和 EC 公鑰的檢查,並由 Google 安全團隊積極維護。該專案還旨在減輕對計算資源的使用。檢查的速度必須足夠快,以便針對大量的製品執行,並且必須在現實世界的生產環境中有意義。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31524109/viewspace-2921996/,如需轉載,請註明出處,否則將追究法律責任。

相關文章