Google 近日宣布開源Paranoid，該項目主要用於識別各種加密產品中的漏洞。該庫支持測試數字簽名、通用偽隨機數和公鑰等多種類型的加密產品，以識別由編程錯誤或使用弱專有隨機數生成器引起的問題。Paranoid 項目可以檢測任意加密產品、以及那些由未知實現的系統（Google 將其稱之為“黑匣子”，其特性是源代碼無法被檢查）生成的產品。

項目地址：https://github.com/google/paranoid_crypto

在隨機數生成器中兩個著名的、特定於實現（implementation-specific）的漏洞是DUHK (Don’t Use Hardcoded Keys) 和ROCA (Return of Coppersmith’s Attack)，這兩個SSL/TLS 漏洞在過去5 年裡已經廣為人知。

例如，一個跟踪為CVE-2022-26320 的錯誤，這是一個影響多個Canon 和Fujifilm 打印機系列的加密相關問題，它們生成帶有易受攻擊的RSA 密鑰的自簽名TLS 證書。該問題與Rambus 使用Safezone 庫的基本加密模塊有關。

Google 已經使用Paranoid 從Certificate Transparency 中檢查了包含超過70 億個已發佈網站證書的加密產品，並發現了數千個受到嚴重和高嚴重性RSA 公鑰漏洞影響的條目。這些證書中的大多數已經過期或被吊銷，其餘的被報告為吊銷。

Paranoid 項目包含對ECDSA 簽名以及RSA 和EC 公鑰的檢查，並由Google 安全團隊積極維護。這個開源庫可以被其他人使用，也可以增加透明度，並以對現有資源進行新檢查和改進的形式接收來自外部資源的貢獻。