Google 近日正式開源了 Paranoid ，這是一個用于識別加密制品（cryptographic artifacts）中常見漏洞的項目。

Paranoid 支持測試多個加密制品，其中包括如數字簽名、通用偽隨機數和公鑰，以識別由編程錯誤或使用弱的專有隨機數生成器造成的問題。

根據 Google 官方公布的信息顯示，Paranoid 可以檢查任何制品，甚至是那些由未知實現的系統（Google 將其稱之為 “黑盒子”，其源代碼無法被檢查）生成的制品。

一個制品可能是由黑盒子生成的，它不是由我們自己的工具（如 Tink）生成的，也不是由我們可以使用 Wycheproof 檢查和測試的庫生成的。雖然不夠安全，但不幸的是，有時我們最終會依賴黑盒子生成的制品

Google 已經使用 Paranoid 檢查了 Certificate Transparency（CT）中的加密制品 —— 其中包含超過 70 億個已簽發的網站證書，并發現了數千個受關鍵和高嚴重性 RSA 公鑰漏洞影響的證書。這些證書中的大多數已經過期或被吊銷。

Google 將該庫開源，不僅是允許其他人使用，也是為了增加透明度，并接受來自外部的貢獻。希望研究人員發現并報告加密漏洞后，將檢查添加到庫中。這樣一來，Google 和其他使用者就可以快速應對新的威脅。

Paranoid 項目包含 ECDSA 簽名以及 RSA 和 EC 公鑰的檢查，并由 Google 安全團隊積極維護。該項目還旨在減輕對計算資源的使用。檢查的速度必須足夠快，以便針對大量的制品運行，并且必須在現實世界的生產環境中有意義。

?

總結

以上是生活随笔為你收集整理的Google 正式开源 Paranoid的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。