首页>云计算 > 正文
谷歌宣布开源Paranoid 主要用于识别各种加密产品中的漏洞
来源: cnBeta.COM 发布于:2022-08-29 10:19:05

Google 近日宣布开源 Paranoid,该项目主要用于识别各种加密产品中的漏洞。该库支持测试数字签名、通用伪随机数和公钥等多种类型的加密产品,以识别由编程错误或使用弱专有随机数生成器引起的问题。 Paranoid 项目可以检测任意加密产品、以及那些由未知实现的系统(Google 将其称之为 “黑匣子”,其特性是源代码无法被检查)生成的产品。

在随机数生成器中两个著名的、特定于实现(implementation-specific)的漏洞是 DUHK (Don’t Use Hardcoded Keys) 和ROCA (Return of Coppersmith’s Attack),这两个 SSL/TLS 漏洞在过去 5 年里已经广为人知。

例如,一个跟踪为 CVE-2022-26320 的错误,这是一个影响多个 Canon 和 Fujifilm 打印机系列的加密相关问题,它们生成带有易受攻击的 RSA 密钥的自签名 TLS 证书。该问题与 Rambus 使用 Safezone 库的基本加密模块有关。

Google 已经使用 Paranoid 从 Certificate Transparency 中检查了包含超过 70 亿个已发布网站证书的加密产品,并发现了数千个受到严重和高严重性 RSA 公钥漏洞影响的条目。这些证书中的大多数已经过期或被吊销,其余的被报告为吊销。

Paranoid 项目包含对 ECDSA 签名以及 RSA 和 EC 公钥的检查,并由 Google 安全团队积极维护。这个开源库可以被其他人使用,也可以增加透明度,并以对现有资源进行新检查和改进的形式接收来自外部资源的贡献。

关键词: 数字签名 伪随机数 公共钥匙 电脑编程

猜你喜欢

  • 谷歌宣布开源Paranoid 主要用于识别各种加密产品中的漏洞
  • 前苹果高管加盟电动汽车制造商lucid 助力解决软件开发问题
  • 全球观热点:发射台遭3次雷击!美国新一代登月火箭按原计划发射
  • 环球百事通!马斯克:各国应增加核发电 环保分子是“反人类”
  • 芯启源EDA工具和DPU产品再亮相ICDIA 引发行业关注
  • 今日报丨骁龙8 Gen2机型11月上市!摩托罗拉又要截胡首发?
  • 今日报丨预定明年旗舰标配!全新三星E6屏幕材料顺利出货
  • 焦点观察:飞利浦和格力之争,损失最大的也许不是格力,也不是飞利浦
  • 观察:自己维修MacBook需要多少钱?不值当也不推荐!
  • 全球快看:时隔三年苹果 AirPods Pro2发布,支持蓝牙5.2,能否支持无损音质
  • 环球要闻:未来厨房无明火 “烟火气”只是个情怀而已
  • 全球观速讯丨机器人产业要抓住未来
  • 天天热议:从“0”到“1” 深圳机器人产业突围战
  • 天天热点!行业首创四星级除菌 森歌U5除菌集成洗碗机有何亮点?
  • 世界看热讯:一周新闻晚知道:家用清洁机器人行业再添两项团标
  • 热门:骁龙8 Gen2机型11月上市!摩托罗拉又要截胡首发?
  • 精彩看点:索尼Xperia 5 Ⅳ即将发布:机身更窄,将保留3.5mm耳机孔
  • 天天快资讯丨预定明年旗舰标配!全新三星E6屏幕材料顺利出货
  • 年度资料片“横刀断浪”首曝《剑网3》十三周年发布会回顾
  • 焦点热门:屋顶光伏卖疯了!一年三万的电费账单推动英国太阳能板销售暴增