Уразливість у gnupg дозволяє зламати rsa

Команда дослідників виявила вразливість у криптобібліотеці libgcrypt. Це бібліотека, яка використовується програмним забезпеченням GnuPG, завдяки якій можна надсилати зашифровані та автентифіковані електронні листи за допомогою PGP.

Уразливість GnuPG дозволяє зламати RSA

Ця вразливість, очевидно, дозволяє повністю розірвати ключ RSA. Незалежно від довжини цього ключа. Хоча, здається, в клавішах більше 4096 біт потрібно ефективніше діяти. Тому, маючи можливість зламати ключі RSA, ви можете розшифрувати всі дані, зашифровані цим ключем.

Уразливість GnuPG

Для тих, хто цього не знає, GnuPG - це програмне забезпечення для безпечного надсилання електронних листів. Крім того, це програмне забезпечення з відкритим кодом та сумісне з Windows, Linux та macOS. Інші, можливо, знають це, тому що Едвард Сноуден використовує його для підтримки безпечної комунікації. Проблема безпеки виявлена ​​в бібліотеці Libgcrypt, яка схильна до атак бічних каналів. Мабуть, вона фільтрує більше інформації справа наліво. Так це дозволяє відновити ключ RSA.

Хоча для того, щоб виконати атаку такого типу, зловмисник повинен мати доступ до обладнання, на якому виконувати програмне забезпечення. Щось, що, безумовно, допомагає зменшити шанси нападу. Для спокою багатьох. Це атака бічного каналу. Ця атака, на думку експертів, є однією з найпростіших для доступу до приватних ключів, таких як RSA. Вони також коментують, що це атака, яку може використовувати віртуальна машина для крадіжки ключів.

На щастя, команда розвитку Libgcrypt відреагувала дуже швидко. Для виправлення проблеми вже випущено оновлення. Поки доступний Libgcrypt 1.7.8, який наразі доступний для Ubuntu та Debian. Що вони рекомендують, - це перевірити використану нами та оновлену версію якомога швидше