Уязвимостта в gnupg ви позволява да разбиете rsa

Екип от изследователи откриха уязвимост в крипто библиотеката libgcrypt. Това е библиотека, използвана от софтуера GnuPG, благодарение на която е възможно да се изпращат криптирани и заверени имейли с PGP.

Уязвимостта на GnuPG ви позволява да пропуснете RSA

Изглежда, че тази уязвимост позволява напълно да се напука ключа RSA. Независимо от дължината на този ключ. Въпреки че, изглежда, за клавишите с повече от 4096 бита е необходимо повече време, за да действа ефективно. Следователно, като можете да пропуснете RSA ключовете, можете да декриптирате всички данни, които са били криптирани с този ключ.

Уязвимост на GnuPG

За тези, които не го знаят, GnuPG е софтуер за безопасно изпращане на имейли. Освен това той е софтуер с отворен код и е съвместим с Windows, Linux и macOS. Други може да го знаят, защото Едуард Сноудън го използва за поддържане на сигурни комуникации. Проблемът в сигурността, открит в библиотеката Libgcrypt, която е предразположена към атаки на странични канали. Очевидно филтрира повече информация от дясно на ляво. Така той позволява да се възстанови ключът RSA.

Въпреки че, за да извърши този тип атака, нападателят трябва да има достъп до хардуера, на който да изпълни софтуера. Нещо, което със сигурност помага да се намалят шансовете за атака. За спокойствието на мнозина. Това е атака на страничен канал. Тази атака, според експерти, е една от най-лесните за достъп до частни ключове като RSA. Те коментират също, че става въпрос за атака, която виртуална машина за кражба на ключове може да използва.

За щастие, екипът за разработка на Libgcrypt реагира много бързо. Вече е издадена актуализация, за да коригира проблема. Засега е наличен Libgcrypt 1.7.8, който в момента е наличен за Ubuntu и Debian. Това, което препоръчват, е да проверите възможно най-скоро версията, която използваме и актуализираме