Paranoid Crypto 终极指南:Google安全团队的密码学弱点检测神器
项目地址: https://gitcode.com/gh_mirrors/pa/paranoid_crypto Paranoid Crypto 是由 Google 安全团队开发的密码学弱点检测库,能够全面检查公钥、数字签名和伪随机数等密码学工件中的已知安全漏洞。无论是内部工具生成的加密组件,还是第三方黑盒设备产生的密钥,都能通过这套强大工具进行安全验证,有效防范密码学实现缺陷带来的安全风险。
为什么选择 Paranoid Crypto?
在当今数字化时代,密码学安全是信息保护的基石。然而,即使是专业的加密实现也可能存在隐藏缺陷:
- 第三方组件风险:无法审计源代码的硬件或软件黑盒可能使用弱随机数生成器
- 历史漏洞教训:如 ROCA (CVE-2017-15361) 和 OpenSSL 密钥泄露 (CVE-2008-0166) 等漏洞曾导致大规模安全事件
- 复杂攻击面:从 RSA 密钥分解到 ECDSA 签名漏洞,现代密码学攻击手段不断进化
Paranoid Crypto 正是为解决这些问题而生,它整合了学术界和工业界的最新研究成果,能够检测从经典漏洞到新型攻击向量的各类安全隐患。
核心功能与检测能力
全面的密码学工件检查
Paranoid Crypto 支持多种密码学组件的安全检测:
- RSA 公钥检测:通过 paranoid_crypto/lib/rsa_single_checks.py 实现对密钥弱点的深度扫描
- ECDSA 签名验证:借助 paranoid_crypto/lib/ecdsa_sig_checks.py 检测签名算法实现缺陷
- 随机数质量评估:通过 paranoid_crypto/lib/randomness_tests/ 中的扩展 NIST 测试套件评估随机性
实战验证的检测效果
在对 Certificate Transparency (CT) 数据库中超过 70 亿证书的分析中,Paranoid Crypto 发现了多种严重安全问题:
| 检测名称 | 相关 CVE | 严重程度 | 弱工件数量 |
|---|---|---|---|
| CheckOpensslDenylist | CVE-2008-0166 | 严重 | 3989 |
| CheckROCA | CVE-2017-15361 | 高 | 2875 |
| CheckGCD | - | 严重 | 1860 |
| CheckFermat | CVE-2022-26320 | 严重 | 36 |
这些发现促使证书颁发机构对存在风险的证书进行了及时吊销,有效防范了潜在的安全威胁。
快速上手:安装与使用
系统要求
- Python 3.9 或更高版本
- 支持 Debian 最新稳定版 (bullseye) 及兼容系统
一键安装步骤
$ git clone https://gitcode.com/gh_mirrors/pa/paranoid_crypto && cd paranoid_crypto
$ sudo apt update && sudo apt install python3 python3-pip python3-pybind11 python3-fpylll libgmp-dev protobuf-compiler
$ python3 -m pip install .
验证安装是否成功:
$ cd paranoid_crypto && python3 -m unittest discover -b -p "*test.py"
Docker 容器化部署
对于希望快速试用的用户,项目提供了 Docker 镜像支持:
$ docker build -t paranoid-img .
$ docker run --name paranoid-container -it paranoid-img
实用示例:检测密码学弱点
检查 RSA 公钥安全性
通过 examples/rsa_public_keys.py 可以快速检测 RSA 公钥是否存在已知弱点:
from paranoid_crypto import paranoid
from cryptography.hazmat.primitives.asymmetric import rsa
# 生成测试用 RSA 密钥
key = rsa.generate_private_key(public_exponent=65537, key_size=2048)
public_key = key.public_key()
# 执行全面安全检查
result = paranoid.check_rsa_public_key(public_key)
print(f"检查结果: {result}")
验证 ECDSA 签名
使用 examples/ecdsa_signatures.py 检测 ECDSA 签名实现是否存在漏洞:
from paranoid_crypto import paranoid
from cryptography.hazmat.primitives import hashes
from cryptography.hazmat.primitives.asymmetric import ec
# 生成 ECDSA 密钥对
private_key = ec.generate_private_key(ec.SECP256R1())
public_key = private_key.public_key()
# 生成签名
signature = private_key.sign(b"test message", ec.ECDSA(hashes.SHA256()))
# 验证签名安全性
result = paranoid.check_ecdsa_signature(public_key, b"test message", signature)
print(f"签名检查结果: {result}")
项目架构与扩展
模块化设计
Paranoid Crypto 采用高度模块化的架构,主要组件包括:
- 核心检测模块:paranoid_crypto/lib/ 包含各类密码学检查的实现
- 数据存储层:paranoid_crypto/lib/data/ 提供弱点数据库和存储功能
- 数学工具库:paranoid_crypto/lib/ntheory_util.py 和 linalg_util.py 提供数论和线性代数支持
持续更新的检测规则
项目团队持续跟踪最新的密码学研究成果,通过 docs/ 目录下的文档维护检测规则的更新记录,包括:
结语:提升密码学安全的终极工具
Paranoid Crypto 不仅是一个检测工具,更是密码学安全的守护者。通过整合 Google 安全团队的专业知识和学术界的前沿研究,它为开发者和安全专家提供了全面的密码学弱点检测能力。无论是在产品开发阶段进行安全验证,还是对第三方组件进行安全审计,Paranoid Crypto 都能成为您保障密码学安全的得力助手。
想要了解更多细节?请查阅项目完整文档或通过单元测试 paranoid_crypto/lib/paranoid_rsa_test.py 等文件深入了解检测实现。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
