×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

GnuPG dicht lek in encryptiebibliotheek dat achterhalen rsa-sleutel toelaat

Door , 17 reacties

Verschillende wetenschappers, onder wie onderzoekers van de TU Eindhoven, hebben een lek gevonden in de encryptiebibliotheek libgcrypt, die in GnuPG aanwezig is. Er is een patch uitgebracht voor de kwetsbaarheid die het achterhalen van een 1024bit-rsa-sleutel mogelijk maakt.

Het onderzoek, dat werd opgemerkt door The Register, spreekt van een side channel-aanval die het achterhalen van een 1024bit-sleutel mogelijk maakt. Hetzelfde is mogelijk voor een 2048bit-sleutel, waarvoor wel meer rekenkracht is vereist. De kwetsbaarheid heeft te maken met het gebruik van een 'sliding window'-methode voor machtsverheffing die informatie lekt. Om de kwetsbaarheid aan te tonen, maakten de onderzoekers gebruik van een zogenaamde 'flush + reload'-aanval op het geheugen van een systeem.

GnuPG-ontwikkelaar Werner Koch schrijft bij de aankondiging van de patch dat de aanval ervan uitgaat dat de aanvaller in staat is om zelfgekozen software op de hardware van een systeem te draaien, wat veelal als een game-over-scenario wordt beschouwd als dat gebeurt op een machine met privésleutels. Daarom zouden er eenvoudigere manieren zijn om de sleutel te achterhalen. De aanval zou echter wel toepassing hebben bij verschillende virtual machines die een gedeeld geheugen hebben. Dit is overgenomen in het advies van het NCSC.

Volgens Packet Storm zijn er patches voor Debian en Ubuntu voor het lek met kenmerk CVE-2017-7526 en ook Fedora heeft een patch beschikbaar. GnuPG staat voor GNU Privacy Guard en wordt ook vaak afgekort tot GPG. Dit is een verzameling tools voor het beveiligen van communicatiestromen en data. Het kan worden gebruikt om data te versleutelen en digitale handtekeningen aan te maken, en voor het aanbieden van een framework voor public key-cryptografie. Het ondersteunt zowel OpenPGP als s/mime-standaarden. De TU Eindhoven-onderzoekers die aan het onderzoek hebben meegewerkt zijn Tanja Lange, Christine van Vredendaal en Leon Groot Bruinderink.

Door Sander van Voorst

Nieuwsredacteur

04-07-2017 • 10:32

17 Linkedin Google+

Reacties (17)

Wijzig sortering
Voor andere distributies:
Versie 1.7.8 (de huidige stable) lost het probleem in de library zelf op zonder patches. Deze versie is uitgekomen op 29 juni 2017.

Voor Arch Linux gebruikers is deze update al beschikbaar sinds 30 juni voor core package libgcrypt. Er is nog geen update uit voor community package libgcrypt15. Het advies is dus om de laatste versie te gebruiken. Normaliter zal bij GnuPG gebruik alleen package libgcrypt geļnstalleerd zijn.

[Reactie gewijzigd door The Zep Man op 4 juli 2017 11:47]

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*