Google 开源 Paranoid,可识别加密漏洞


Google 近日正式开源了 Paranoid ,这是一个用于识别加密制品(cryptographic artifacts)中常见漏洞的项目。

Paranoid 支持测试多个加密制品,其中包括如数字签名、通用伪随机数和公钥,以识别由编程错误或使用弱的专有随机数生成器造成的问题。

根据 Google 官方公布的信息显示,Paranoid 可以检查任何制品,甚至是那些由未知实现的系统(Google 将其称之为 “黑盒子”,其源代码无法被检查)生成的制品。

一个制品可能是由黑盒子生成的,它不是由我们自己的工具(如 Tink)生成的,也不是由我们可以使用 Wycheproof 检查和测试的库生成的。虽然不够安全,但不幸的是,有时我们最终会依赖黑盒子生成的制品

Google 已经使用 Paranoid 检查了 Certificate Transparency(CT)中的加密制品 —— 其中包含超过 70 亿个已签发的网站证书,并发现了数千个受关键和高严重性 RSA 公钥漏洞影响的证书。这些证书中的大多数已经过期或被吊销。

Google 将该库开源,不仅是允许其他人使用,也是为了增加透明度,并接受来自外部的贡献。希望研究人员发现并报告加密漏洞后,将检查添加到库中。这样一来,Google 和其他使用者就可以快速应对新的威胁。

Paranoid 项目包含 ECDSA 签名以及 RSA 和 EC 公钥的检查,并由 Google 安全团队积极维护。该项目还旨在减轻对计算资源的使用。检查的速度必须足够快,以便针对大量的制品运行,并且必须在现实世界的生产环境中有意义。

项目地址:https://github.com/google/paranoid_crypto


相關推薦

2024-07-08

发历史,广泛应用于消费者和企业领域,包括 Android 和 Google Cloud 等平台。作为 KVM 的积极和关键贡献者,谷歌开发了 kvmCTF 作为协作平台来帮助识别和修复漏洞,从而进一步强化这一基本安全边界。 根据介绍,与针对 Linux 内

2022-10-14

用户可以在 Android 设备上创建和使用密钥,密钥通过 Google 密码管理器 进行同步。 开发人员可以通过 WebAuthn API、Android 和其他支持的平台,使用 Chrome 在网站上为用户构建密钥支持。 如果要在网站上添加密钥登录功能,

2021-12-06

路径中丢失了防护 。因此,赖江山的第一个补丁就是在paranoid_entry() 中为内核的  SWAPGS 条目添加了防护:FENCE_SWAPGS_{KERNEL|USER}_ENTRY,以保证 SWAPGS 和 CR3 写入的顺序,可以在内核邮件中查看此补丁的详细信息。 第二个补丁是关

2023-02-25

Vulnerability Reward Program(VRP)是 Google 为了提高其产品和服务的安全性,向找出漏洞的安全研究员支付奖金的一项计划。在 2021 年,Google 就通过 VRP 向安全研究员发放了 870 万美元的漏洞奖励。时间来到了 2023 年,Google 则是公布了

2022-02-23

对某个代码库进行查询,即可识别潜在的安全漏洞。这些开源查询由社区成员和 GitHub 安全专家编写,尽可能多地识别特定漏洞类型的变体,并提供广泛的通用弱点枚举 (CWE) 覆盖范围。 该功能对 JavaScript 和 TypeScript 代码的静

2022-10-24

题就是目前很多企业和政府组织非常重视的问题。 此前 Google 就已经针对软件供应链的安全开源了一个名为 SLSA(Supply chain Levels for Software Artifacts)的框架,这是一个新的端到端框架,Google 希望通过 SLSA 能推动标准和准则的实

2022-04-02

心,比如花了六年时间来标准化 。 Chris McKillop 是 Google Fuchsia OS 的负责人兼工程总监,近日他在个人社交媒体上宣布已经从 Google 离职。 在 2016 年,Google 就在 GitHub 上提交了 Fuchsia OS 的代码,也正是在那个时候,Fuchsia OS

2022-09-02

性和安全性。 全局搜索 功能进一步优化,支持对Google搜索引擎-的国际化支持,默认搜索引擎可根据用户需求进行配置。 键盘布局与输入法 满足中国用户和海外用户对输入法和键盘布局便捷使用的诉求,对整体功

2023-06-18

全漏洞。由于持续的安全问题,该用于异步 I/O 的接口在 Google 产品中受到限制或被完全禁用。 Google 安全博客指出,Google 漏洞奖励计划中 60% 的提交都与 IO_uring 有关。而且 Google 已经为 IO_uring 漏洞奖励支付了约 100 万美元。因

2022-05-17

发布 Android  Chrome 101 版本后,大量俄罗斯用户在  Google Play 应用商店和社交软件中发声投诉,称其  Android 设备无法通过 Google Play 商店更新 Chrome 浏览器和 Android System WebView 系统组件,PC 端和苹果设备的 Chrome 则不受影

2022-04-02

为它一直需要合适的上游编译器支持。 Chris McKillop 是 Google Fuchsia OS 的负责人兼工程总监,近日他在个人社交媒体上宣布已经从 Google 离职。 在 2016 年,Google 就在 GitHub 上提交了 Fuchsia OS 的代码,也正是在那个时候,Fuchsia OS

2022-10-19

网盘:https://pan.baidu.com/s/1nV3_qhLkBImmhYk8bD8YVQ提取码:zimo Google Drive:https://drive.google.com/file/d/1rkN3tYLIfzPLITWQEt1uBiskJU9s8CjH BT:https://www.mediafire.com/file/on5g8c8sy2gibx3/deepin-20.7.1

2023-10-09

歌近期披露的产品零日漏洞不完整,可能隐藏了一个上游开源库libwebp的漏洞,使腾讯QQ等数百万应用面临“巨大的盲点”,处于被攻击的危险之中。【苹果谷歌漏洞披露不完整,让腾讯QQ等数百万应用处于危险之中 - 安全内参 |

2023-03-24

太长、读起来拗口、不容易记等问题。因此在加入 Dromara 开源社区之际,将名字进行了变更。 Dante,即但丁·阿利基耶里(公元1265年-公元1321年),13世纪末意大利诗人,现代意大利语的奠基者,欧洲文艺复兴时代的开拓人物之一