Уязвимость в gnupg позволяет взломать RSA

Команда исследователей обнаружила уязвимость в криптографической библиотеке libgcrypt. Это библиотека, используемая программным обеспечением GnuPG, благодаря которой можно отправлять зашифрованные и аутентифицированные электронные письма с PGP.

Уязвимость GnuPG позволяет взломать RSA

Эта уязвимость позволяет полностью взломать ключ RSA. Независимо от длины этого ключа. Хотя, похоже, для ключей длиной более 4096 бит требуется больше времени, чтобы действовать эффективно. Поэтому, взломав ключи RSA, вы можете расшифровать все данные, которые были зашифрованы этим ключом.

GnuPG уязвимость

Для тех, кто этого не знает, GnuPG - это программа для безопасной отправки электронной почты. Кроме того, это программное обеспечение с открытым исходным кодом и совместимо с Windows, Linux и macOS. Другие могут знать это, потому что Эдвард Сноуден использует это для поддержания безопасной связи. В библиотеке Libgcrypt обнаружен недостаток безопасности, который подвержен атакам по сторонним каналам. По-видимому, он фильтрует больше информации справа налево. Так что это позволяет восстановить ключ RSA.

Хотя для выполнения атаки такого типа злоумышленник должен иметь доступ к оборудованию, на котором выполняется программное обеспечение. Что-то, что, безусловно, помогает уменьшить вероятность атаки. Для спокойствия многих. Это атака по боковому каналу. Эта атака, по мнению экспертов, является одним из самых простых для доступа к закрытым ключам, таким как RSA. Они также отмечают, что это атака, которую может использовать виртуальная машина для кражи ключей.

К счастью, команда разработчиков Libgcrypt отреагировала очень быстро. Обновление уже выпущено для устранения проблемы. На данный момент доступен Libgcrypt 1.7.8, который в настоящее время доступен для Ubuntu и Debian. Они рекомендуют проверить используемую нами версию и обновить ее как можно скорее.