Deja nu mă mai surprinde nimic atunci când vine vorba despre securitatea informatică – după toate leak-urile ShadowBrokers și problemele masive de securitate din ultima perioadă, faptul că s-a reușit spargerea criptării RSA-1024 din GnuPG e doar un alt incident al anului 2017.
Gnu Privacy Guard (GnuPG sau GPG) este una din soluțiile folosite des pentru criptarea datelor pe Linux, MacOS, Windows, în același timp fiind open source. Azi am citit că s-a descoperit o vulnerabilitate – CVE-2017-7526 în biblioteca Libgcrypt cryptographic din GnuPG, care poate fi exploatată printr-un atac FLUSH+RELOAD.
O echipă combinată de specialiști în securitate de la Technical University of Eindhoven, University of Illinois, University of Pennsylvania, University of Maryland și University of Adelaide au observat că metoda “left-to-right sliding window” de criptare oferă mult mai multe informații decât cea ”right-to-left” și în acest fel e posibil, pe baza analizei utilizării memoriei (sau e undelor electromagnetice emise de aparat) în timpul criptării, să se extragă cheile. Cu atât mai ușor fiind procesul dacă este executat într-un mediu virtualizat.
Și mai interesant este că același principiu ar putea să fie folosit și pentru spargerea cheilor RSA-2048. Detaliile complete se regăsesc în lucrarea ‘Sliding right into disaster: Left-to-right sliding windows leak,’ scriză de Daniel J. Bernstein, Joachim Breitner, Daniel Genkin, Leon Groot Bruinderink, Nadia Heninger, Christine van Vredendaal, Tanja Lange și Yuval Yarom, disponibilă aici.
Între timp Libgcrypt este deja reparat în versiunea 1.7.8 și nu mai are această vulnerabilitate, distribuțiile Ubuntu și Debian având deja patch-urile disponibile.
Dacă lucrați cu informații importante sau vă bazați securitatea parolelor/accesului la diverse server/servicii pe acest tip de criptare, atunci faceți bine și actualizați rapid bibliotecile afectate.
via THN
