共计 648 个字符,预计需要花费 2 分钟才能阅读完成。
Google 近日正式开源了 Paranoid,这是一个用于辨认加密制品(cryptographic artifacts)中常见破绽的我的项目。
Paranoid 反对测试多个加密制品,其中包含如数字签名、通用伪随机数和公钥,以辨认由编程谬误或应用弱的专有随机数生成器造成的问题。依据 Google 官网颁布的信息显示,Paranoid 能够查看任何制品,甚至是那些由未知实现的零碎(Google 将其称之为“黑盒子”,其源代码无奈被查看)生成的制品。一个制品可能是由黑盒子生成的,它不是由咱们本人的工具(如 Tink)生成的,也不是由咱们能够应用 Wycheproof 检查和测试的库生成的。尽管不够平安,但可怜的是,有时咱们最终会依赖黑盒子生成的制品 Google 曾经应用 Paranoid 查看了 Certificate Transparency(CT)中的加密制品 —— 其中蕴含超过 70 亿个已签发的网站证书,并发现了数千个受要害和高严重性 RSA 公钥破绽影响的证书。这些证书中的大多数曾经过期或被撤消。Google 将该库开源,不仅是容许其他人应用,也是为了减少透明度,并承受来自内部的奉献。心愿钻研人员发现并报告加密破绽后,将查看增加到库中。这样一来,Google 和其余使用者就能够疾速应答新的威逼。Paranoid 我的项目蕴含 ECDSA 签名以及 RSA 和 EC 公钥的查看,并由 Google 平安团队踊跃保护。该我的项目还旨在加重对计算资源的应用。查看的速度必须足够快,以便针对大量的制品运行,并且必须在事实世界的生产环境中有意义。