Nacionalni CERT

Kritična ranjivost omogućuje otkrivanje RSA ključa

Stručnjaci za informacijsku sigurnost otkrili su kritičnu ranjivost u GnuPG kriptografskoj biblioteki koja omogućava probijanje RSA-1024 kriptografskog algoritma i otkrivanje tajnog RSA ključa za dešifriranje podataka.

Gnu Privacy Guard (GnuPG ili GPG) je popularan softver otvorenog koda korišten za šifriranje kod mnogih operativnih sustava kao što su Linux, FreeBSD, Windows, macOS X i drugi.

Otkrivenoj ranjivosti dodijeljena je oznaka CVE-2017-7526, a potencijalnim lokalnim napadačima omogućuje izvođenje FLUSH+RELOAD "side-channel" napada.

Tim stručnjaka iz nekoliko visokoobrazovnih učilišta otkrila je kako "left-to-right sliding window" matematička metoda šifriranja korištena kod Libgcrypt programske biblioteke omogućuje otkrivanje znatno više informacija o dijelovima ključa nego kod right-to-left sliding window" metode, što omogućuje potpuno otkrivanje RSA ključa.

L3 Cache Side-Channel napad mogao bi se iskoristiti ako napadač pokrene proizvoljni softver na hardveru na kojem je korišten RSA ključ. Napad potencijalnom napadaču omogućuje otkrivanje tajnog kriptografskog ključa sa zahvaćenog sustava analiziranjem uzoraka korištene memorije ili elektromagnetskih izlaznih podataka na uređaju koji su rezultat procesa dešifriranja.

Izdana je zakrpa za ranjivost programske biblioteke Libgcrypt verzije 1.7.8. za operacijske sustave Debian, Ubuntu i Fedora. Svim korisnicima savjetuje se primjena izdane zakrpe.

 

03.07.2017