Google開源加密元件漏洞檢測程式庫Paranoid

Google近日開源可偵測金鑰或簽章等加密元件漏洞的工具庫，名為Paranoid。

Paranoid可偵測大量加密元件，如公鑰或數位簽章的已知漏洞。Google本月初（8/3）開源了蒐集Google迄今實作檢測漏洞工具的程式庫，並公布於GitHub上。

Google指出，加密元件可能是由系統以某種不知名的實作，像是硬體安全模組（Hardware Security Module）產生，但這些不知怎麼產生的加密元件，包括金鑰或數位簽章，卻被用來保護用戶資產。對Google而言，只要不是他們自己的工具（如Tink）或可經由Google自己的Project Wycheproof檢查測試的程式庫，他們都認為是從黑盒子產生的，難免有所懷疑。該公司以Project Wycheproof測試大部分演算法，像是RSA、橢圓曲線密碼學（elliptic curve crypto）和驗證加密。

在一些加密金鑰漏洞，如金鑰產製漏洞ROCA CVE-2017-15361（用於許多智慧卡、TPM及YubiKey 4），以及其他類似漏洞後，Google於2019年即啟動這專案，並建立了可檢查許多加密元件的程式庫。

這個程式庫包括許多已知漏洞研究的成果實作。例如最近發現的RSA加密金鑰產製漏洞CVE-2022-26320 ，就證明檢測已知漏洞的重要性。Google指出，由於專案團隊也會儘可能將偵測方法概括應用，因此他們相信也可能偵測出新漏洞。

Google將之開源出來，也鼓勵外部研究人員在發現到新的加密元件漏洞後，也能將其檢測方法貢獻到這個程式庫，供其他安全研究人員參考。而除了新的檢測方法，Google也歡迎針對現有檢測方法的改良。

不過也不是沒有限制，Google指出，由於Paranoid目的在減少使用運算資源，確保檢測法能很快針對大量加密元件進行檢測，才能在實際生產環境下使用。如果檢測法很花資源，則建議去別的專案，像是RsaCtfTool。

最後，Google提醒，雖然這個程式庫是由Google安全團隊開發與維護，但並未獲得Google產品的官方支援。