GnuPG: Verschlüsselungsbibliothek gibt 1024-Bit-RSA-Schlüssel preis

Acht Sicherheitsforscher nutzen eine bekannte Schwachstelle in der Bibliothek Libgcrypt. Ein von ihnen entwickelter Algorithmus stellt RSA-Schlüssel mit einer Länge von 1024 Bit zuverlässig wieder her. Ein Angreifer muss ein System zuvor allerdings vollständig kompromittieren.

Acht Sicherheitsforscher haben einen Algorithmus entwickelt, der es ihnen erlaubt, vollständige 1024-Bit-RSA-Schlüssel der Verschlüsselungssoftware GnuPG für Android, Linux, macOS und Windows zu extrahieren. Dafür benutzten sie eine bekannte aber ungepatchte Sicherheitslücke in der Bibliothek Libgcrypt, wie Bleeping Computer berichtet.

Verschlüsselung (Bild: Shutterstock)Die Bibliothek nutzt demnach eine als „Sliding Windows“ bezeichnete Methode um einige der für die Verschlüsselung benötigten mathematischen Berechnungen durchzuführen. Diese ist jedoch anfällig für Seitenkanalangriffe, was Unbefugten wiederum den Zugriff auf Daten ermöglicht.

Während der von den Forschern entwickelte Algorithmus RSA-Schlüssel mit einer Länge von 1024 Bit stets vollständig wiederherstellt, ist er bei Schlüsseln mit einer Länge von 2048 Bit zumindest in 13 Prozent der Fälle erfolgreich. Die privaten RSA-Schlüssel erlauben es wiederum, jegliche verschlüsselte Dateien wie Dokumente, Fotos und E-Mails wiederherzustellen.

Das für die Pflege der Bibliothek Libgcrypt zuständige GnuPG Team weist darauf hin, dass ein Angreifer in der Lage sein muss, auf einem System beliebigen Code auszuführen, um den von den Forschern beschriebenen Seitenkanalangriff durchführen zu können. In der Praxis gebe es jedoch einfachere Wege als einen Seitenkanalangriff, um private Schlüssel zu stehlen.

Die Entwickler warnen aber auch vor einem Szenario, bei dem diese Methode effektiv eingesetzt werden könnte. „Auf Rechnern mit virtuellen Maschinen könnte dieser Angriff von einer VM benutzt werden, um private Schlüssel einer anderen VM zu stehlen.“

Inzwischen liegt auch ein Patch für die fragliche Schwachstelle vor, der die Seitenkanalangriffe unterbindet. Betroffene Nutzer sollten auf die Version 1.7.8 der Bibliothek Libgcrypt umsteigen. Die neue Version steht dem Bericht zufolge auch für Linux-Distributionen wie Debian und Ubuntu zur Verfügung. Red Hat Enterprise Linux sei nicht betroffen.

Umfrage

Frage: Welche Ziele verfolgen Sie mit der digitalen Transformation?

Ergebnisse anzeigen

Loading ... Loading ...

Tipp: Wie gut kennen Sie sich mit Open Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Security, Sicherheit, Verschlüsselung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu GnuPG: Verschlüsselungsbibliothek gibt 1024-Bit-RSA-Schlüssel preis

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *