Categories: SicherheitSicherheitsmanagement

GnuPG: Verschlüsselungsbibliothek gibt 1024-Bit-RSA-Schlüssel preis

Acht Sicherheitsforscher haben einen Algorithmus entwickelt, der es ihnen erlaubt, vollständige 1024-Bit-RSA-Schlüssel der Verschlüsselungssoftware GnuPG für Android, Linux, macOS und Windows zu extrahieren. Dafür benutzten sie eine bekannte aber ungepatchte Sicherheitslücke in der Bibliothek Libgcrypt, wie Bleeping Computer berichtet.

Die Bibliothek nutzt demnach eine als „Sliding Windows“ bezeichnete Methode um einige der für die Verschlüsselung benötigten mathematischen Berechnungen durchzuführen. Diese ist jedoch anfällig für Seitenkanalangriffe, was Unbefugten wiederum den Zugriff auf Daten ermöglicht.

Während der von den Forschern entwickelte Algorithmus RSA-Schlüssel mit einer Länge von 1024 Bit stets vollständig wiederherstellt, ist er bei Schlüsseln mit einer Länge von 2048 Bit zumindest in 13 Prozent der Fälle erfolgreich. Die privaten RSA-Schlüssel erlauben es wiederum, jegliche verschlüsselte Dateien wie Dokumente, Fotos und E-Mails wiederherzustellen.

Das für die Pflege der Bibliothek Libgcrypt zuständige GnuPG Team weist darauf hin, dass ein Angreifer in der Lage sein muss, auf einem System beliebigen Code auszuführen, um den von den Forschern beschriebenen Seitenkanalangriff durchführen zu können. In der Praxis gebe es jedoch einfachere Wege als einen Seitenkanalangriff, um private Schlüssel zu stehlen.

Die Entwickler warnen aber auch vor einem Szenario, bei dem diese Methode effektiv eingesetzt werden könnte. „Auf Rechnern mit virtuellen Maschinen könnte dieser Angriff von einer VM benutzt werden, um private Schlüssel einer anderen VM zu stehlen.“

Inzwischen liegt auch ein Patch für die fragliche Schwachstelle vor, der die Seitenkanalangriffe unterbindet. Betroffene Nutzer sollten auf die Version 1.7.8 der Bibliothek Libgcrypt umsteigen. Die neue Version steht dem Bericht zufolge auch für Linux-Distributionen wie Debian und Ubuntu zur Verfügung. Red Hat Enterprise Linux sei nicht betroffen.

Loading ...

Tipp: Wie gut kennen Sie sich mit Open Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Share
Published by
Stefan Beiersmann
Tags: SecuritySicherheitVerschlüsselung
7 Jahren ago

Recent Posts

Chips bescheren Samsung deutlichen Gewinnzuwachs

Das operative Ergebnis wächst um fast 6 Billionen Won auf 6,64 Billionen Won. Die Gewinne…

4 Stunden ago

Chrome: Google verschiebt das Aus für Drittanbietercookies

Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…

19 Stunden ago

BAUMLINK: Wir sind Partner und Aussteller bei der Frankfurt Tech Show 2024

Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…

21 Stunden ago

Business GPT: Generative KI für den Unternehmenseinsatz

Nutzung einer unternehmenseigenen GPT-Umgebung für sicheren und datenschutzkonformen Zugriff.

1 Tag ago

Alphabet übertrifft die Erwartungen im ersten Quartal

Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…

4 Tagen ago

Microsoft steigert Umsatz und Gewinn im dritten Fiskalquartal

Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…

4 Tagen ago