谷歌放出Paranoid代码以帮助寻找诸多加密软件的漏洞

不久前 Google 也开始共享开放项目 paranoid ，此程序旨在找出各类安全产品的缺陷和安全问题。该库支持测试数字签名、通用随机数和公钥等多种类型的加密产品，以识别由编程错误或使用弱专有随机数生成器引起的问题。

在随机数生成器中两个著名的、特定于实现（implementation-specific）的漏洞是 DUHK (Don’t Use Hardcoded Keys) 和ROCA (Return of Coppersmith’s Attack)，这两个 SSL/TLS 漏洞在过去 5 年里已经广为人知。

Google 已经使用 Paranoid 从 Certificate Transparency 中检查了包含超过70 亿个已发布网站证书的加密产品，并发现了数千个受到严重和高严重性 RSA 公钥漏洞影响的条目。这些出口商品证书中的发票大多数已经过期或被吊销，其余的被工作人员报告为未经授权的吊销。

Paranoid 项目包含对 ECDSA 签名以及 RSA 和 EC 公钥的检查，并由 Google 安全团队积极维护。这个开源库可以被其他人使用，也可以增加透明度，并以对现有资源进行新检查和改进的形式接收来自外部资源的贡献。据介绍，该项目旨在通过提供一个安全的工具，帮助企业更好地管理数据，从而减少数据泄露事件的发生。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!