Google開源Paranoid:用於識別各種加密產品中的漏洞


Google近日宣佈開源Paranoid,該項目主要用於識別各種加密產品中的漏洞。該庫支持測試數字簽名、通用偽隨機數和公鑰等多種類型的加密產品,以識別由編程錯誤或使用弱專有隨機數生成器引起的問題。Paranoid項目可以檢測任意加密產品、以及那些由未知實現的系統(Google將其稱之為“黑匣子”,其特性是源代碼無法被檢查)生成的產品。

項目地址:https://github.com/google/paranoid_crypto

在隨機數生成器中兩個著名的、特定於實現(implementation-specific)的漏洞是 DUHK (Don’t Use Hardcoded Keys) 和ROCA (Return of Coppersmith’s Attack),這兩個 SSL/TLS 漏洞在過去 5 年裡已經廣為人知。

例如,一個跟蹤為 CVE-2022-26320 的錯誤,這是一個影響多個 Canon 和 Fujifilm 打印機系列的加密相關問題,它們生成帶有易受攻擊的 RSA 密鑰的自簽名 TLS 證書。該問題與 Rambus 使用 Safezone 庫的基本加密模塊有關。

Google 已經使用 Paranoid 從 Certificate Transparency 中檢查包含超過 70 億個已發佈網站證書的加密產品,並發現數千個受到嚴重和高嚴重性 RSA 公鑰漏洞影響的條目。這些證書中的大多數已經過期或被吊銷,其餘的被報告為吊銷。

Paranoid 項目包含對 ECDSA 簽名以及 RSA 和 EC 公鑰的檢查,並由 Google 安全團隊積極維護。這個開源庫可以被其他人使用,也可以增加透明度,並以對現有資源進行新檢查和改進的形式接收來自外部資源的貢獻。


相關推薦

2022-07-25

者,會發現這約等於寫一本全球IT廠商點名冊:英特爾、Google、IBM、英偉達、Red Hat……然而,很多人不知道的是,在這些Linux內核的貢獻者中,華為的排名已經攀升到第一。去年7月份,Linux發佈有史以來最大的發行版之一,Linux K

2024-02-05

制造 X 射線設備的 MOXTEK 公司。他們還制造 XRF 掃描儀,用於識別制造 Galaxy S24 Ultra 的材料。經檢查發現,三星這款售價 1299.99 美元的旗艦產品采用 2 級鈦金屬。雖然 XRF 掃描儀的讀數可能會有誤差,但同一臺機器將 iPhone 15 Pro 和

2023-04-07

地圖做標記。03.基於1100萬張照片訓練,模型和數據全部開源總體來看,跟過去的一些計算機視覺模型相比,SAM 在幾個方面有著顯著的提升和不同。首先,SAM 開創性地跟Prompt結合起來。它可以接受各種輸入提示,例如點擊、框選

2024-04-19

中,Llama 3 8B 優於其他開源模型,如 Mistral 的Mistral 7B和 Google 的Gemma 7B,這兩個模型都包含 70 億個參數:這些基準包括:MMLU、ARC、DROP、GPQA(一組生物、物理和化學相關問題)、HumanEval(代碼生成測試)、GSM-8K(數學單詞問題)

2023-11-25

agicLine4NX是韓國DreamSecurity公司開發的一款安全認證軟件,用於企業的安全登錄。根據聯合網絡安全公告,朝鮮威脅分子利用該產品中的零日漏洞入侵他們的目標,主要是韓國機構。"2023年3月,網絡行為者利用安全認證和網絡

2024-03-25

覽器在觸摸PC上的體驗,提高滾動速度,現在正尋求升級Google瀏覽器在Windows上的字體渲染,使其與本地應用程序的清晰度相匹配。2021 年,微軟對 Edge 進行更新,以支持改進的字體渲染和 Windows ClearType Tuner。這些變化讓 Edge 的清

2023-04-27

據軟件公司Mysk稱,本周早些時候更新的GoogleAuthenticator應用,允許用戶通過其Google賬戶進行基於雲的雙因素認證(2FA),但它本身卻並不是端到端加密的。"我們分析應用程序同步秘密時的網絡流量,結果發現流量不是端對端

2023-12-07

時代變?迄今為止規模最大,能力最強的Google大模型來。當地時間12月6日,GoogleCEO桑達爾・皮查伊官宣Gemini1.0版正式上線。這次發佈的 Gemini 大模型是原生多模態大模型現在,Google的類 ChatGPT 應用 Bard 已經升級到 Gemini Pro 版本,

2023-11-29

Google在今天發佈的緊急安全更新中修復今年第六個Chrome零日漏洞,以應對持續的攻擊利用。該公司在今天發佈的新安全公告中承認存在安全缺陷漏洞(編號為CVE-2023-6345)。該公司表示:“Google意識到 CVE-2023-6345 的漏洞存在。”

2023-02-17

,要理解這些海量的數字材料,需要“有人參與其中”。開源戰爭Mnemonic掌握的烏克蘭文件已經包含多年的數字錄像。Mnemonic調查員佈賴恩·珀爾曼(Brian Perlman)表示,該組織的調查人員正在計算機視覺、人工智能和機器學習的幫

2022-08-30

Google早在2010年就推出漏洞獎勵計劃(VRP)。顧名思義,它鼓勵研究人員和網絡安全專傢檢測安全問題和漏洞,然後私下向供應商報告。報告後,這些漏洞將被公司修復,發現問題的人將獲得金錢獎勵。在過去幾年中,Google一直

2022-09-25

ramework等。△圖源AV-ATLAS對此有網友提出疑惑,正因為Linux開源,它似乎無論如何都會面臨病毒和惡意軟件的泛濫?有網友回應稱,一方面,雖然舊的Linux系統可能充滿漏洞、成為病毒的“溫床”,但它在經過升級、打補丁之後就

2022-09-04

fox和Safari的瀏覽器漏洞在最近的Chrome軟件發佈後被發現。Google開發人員發現這個基於剪貼板的攻擊,當用戶訪問一個被攻擊的網頁時,惡意網站可以覆蓋用戶的剪貼板內容。該漏洞也影響到所有基於Chromium的瀏覽器,但似乎在Chro

2022-08-22

些時候,三星一項關於智能指環的新專利曝光。一年前,Google也發佈一項與智能指環相關的專利,而亞馬遜則在發佈一款智能指環產品後在2020年將其扼殺。5月,美國專利商標局公佈微軟的一項智能指環專利申請。微軟在其專利