Ranljivost gnupg vam omogoča, da razbijete rsa

Skupina raziskovalcev je odkrila ranljivost v kripto knjižnici libgcrypt. Gre za knjižnico, ki jo uporablja programska oprema GnuPG, zahvaljujoč njej pa je možno pošiljati šifrirana in overjena e-poštna sporočila s PGP.

Ranljivost GnuPG vam omogoča, da razbijete RSA

Zdi se, da ta ranljivost omogoča, da se ključ RSA popolnoma pokvari. Ne glede na dolžino tega ključa. Čeprav se zdi, da ključi z več kot 4096 bitov potrebujejo več časa za učinkovito delovanje. Zato lahko s krampanjem ključev RSA dešifrirate vse podatke, ki so bili šifrirani s tem ključem.

Ranljivost GnuPG

Za tiste, ki tega ne poznajo, je GnuPG programska oprema za varno pošiljanje e-poštnih sporočil. Poleg tega je odprtokodna programska oprema in je združljiva z Windows, Linux in macOS. Drugi ga morda poznajo, ker ga Edward Snowden uporablja za vzdrževanje varne komunikacije. Napaka varnosti je bila odkrita v knjižnici Libgcrypt, ki je nagnjena k napadom stranskih kanalov. Očitno filtrira več informacij od desne proti levi. Tako omogoča obnovitev ključa RSA.

Čeprav mora napadalec za izvedbo te vrste napada imeti dostop do strojne opreme, s katero lahko izvaja programsko opremo. Nekaj, kar zagotovo pomaga zmanjšati možnosti napada. Za spokojnost mnogih. Gre za napad stranskih kanalov. Ta napad je po mnenju strokovnjakov eden najlažjih za dostop do zasebnih ključev, kot je RSA. Komentirajo tudi, da gre za napad, ki bi ga virtualni stroj za krajo ključev lahko uporabil.

Na srečo se je razvojna ekipa Libgcrypt zelo hitro odzvala. Za odpravo težave je že izdana posodobitev. Zaenkrat je na voljo Libgcrypt 1.7.8, ki je trenutno na voljo za Ubuntu in Debian. Priporočajo, da čim prej preverite različico, ki jo uporabljamo in posodobimo