Google 近日正式開源了 Paranoid ，這是一個(gè)用于識別加密制品（cryptographic artifacts）中常見漏洞的項(xiàng)目。

Paranoid 支持測試多個(gè)加密制品，其中包括如數(shù)字簽名、通用偽隨機(jī)數(shù)和公鑰，以識別由編程錯(cuò)誤或使用弱的專有隨機(jī)數(shù)生成器造成的問題。

根據(jù) Google 官方公布的信息顯示，Paranoid 可以檢查任何制品，甚至是那些由未知實(shí)現(xiàn)的系統(tǒng)（Google 將其稱之為 “黑盒子”，其源代碼無法被檢查）生成的制品。

一個(gè)制品可能是由黑盒子生成的，它不是由我們自己的工具（如 Tink）生成的，也不是由我們可以使用 Wycheproof 檢查和測試的庫生成的。雖然不夠安全，但不幸的是，有時(shí)我們最終會依賴黑盒子生成的制品

Google 已經(jīng)使用 Paranoid 檢查了 Certificate Transparency（CT）中的加密制品 —— 其中包含超過 70 億個(gè)已簽發(fā)的網(wǎng)站證書，并發(fā)現(xiàn)了數(shù)千個(gè)受關(guān)鍵和高嚴(yán)重性 RSA 公鑰漏洞影響的證書。這些證書中的大多數(shù)已經(jīng)過期或被吊銷。

Google 將該庫開源，不僅是允許其他人使用，也是為了增加透明度，并接受來自外部的貢獻(xiàn)。希望研究人員發(fā)現(xiàn)并報(bào)告加密漏洞后，將檢查添加到庫中。這樣一來，Google 和其他使用者就可以快速應(yīng)對新的威脅。

Paranoid 項(xiàng)目包含 ECDSA 簽名以及 RSA 和 EC 公鑰的檢查，并由 Google 安全團(tuán)隊(duì)積極維護(hù)。該項(xiàng)目還旨在減輕對計(jì)算資源的使用。檢查的速度必須足夠快，以便針對大量的制品運(yùn)行，并且必須在現(xiàn)實(shí)世界的生產(chǎn)環(huán)境中有意義。