Gnupg ievainojamība ļauj uzlauzt rsa

Pētnieku komanda ir atklājusi ievainojamību šifrēšanas bibliotēkā libgcrypt. Tā ir bibliotēka, ko izmanto programmatūra GnuPG, pateicoties kurai ar PGP ir iespējams nosūtīt šifrētus un autentificētus e-pastus.

GnuPG ievainojamība ļauj uzlauzt RSA

Šķiet, ka šī ievainojamība ļauj pilnībā uzlauzt RSA atslēgu. Neatkarīgi no šīs atslēgas garuma. Lai gan šķiet, ka vairāk nekā 4096 bitu taustiņos efektīvai darbībai nepieciešams vairāk laika. Tāpēc, spējot uzlauzt RSA atslēgas, jūs varat atšifrēt visus datus, kas ir šifrēti ar šo atslēgu.

GnuPG ievainojamība

Tiem, kas to nezina, GnuPG ir programmatūra, lai droši nosūtītu e-pastus. Turklāt tā ir atvērtā pirmkoda programmatūra un ir savietojama ar Windows, Linux un macOS. Citi to var zināt, jo Edvards Snūdens to izmanto, lai uzturētu drošus sakarus. Libgcrypt bibliotēkā atklātā drošības kļūda, kurai ir nosliece uz sānu kanālu uzbrukumiem. Acīmredzot tas filtrē vairāk informācijas no labās uz kreiso pusi. Tātad tas ļauj atgūt RSA atslēgu.

Lai gan, lai izpildītu šāda veida uzbrukumus, uzbrucējam ir jābūt piekļuvei aparatūrai, uz kuras var izpildīt programmatūru. Kaut kas noteikti palīdz samazināt uzbrukuma iespējas. Daudzu mieram. Tas ir sānu kanāla uzbrukums. Šis uzbrukums, pēc ekspertu domām, ir viens no vienkāršākajiem piekļuves gadījumiem privātajām atslēgām, piemēram, RSA. Viņi arī komentē, ka tas ir uzbrukums, kuru varētu izmantot virtuāla mašīna atslēgu nozagšanai.

Par laimi, Libgcrypt izstrādes komanda ir reaģējusi ļoti ātri. Lai labotu problēmu, jau ir izlaists atjauninājums. Līdz šim ir pieejams Libgcrypt 1.7.8, kas pašlaik ir pieejams Ubuntu un Debian. Viņi iesaka pārbaudīt mūsu izmantoto versiju un pēc iespējas ātrāk to atjaunināt