Categories: SicherheitSicherheitsmanagement

GnuPG: Verschlüsselungsbibliothek gibt 1024-Bit-RSA-Schlüssel preis

Acht Sicherheitsforscher haben einen Algorithmus entwickelt, der es ihnen erlaubt, vollständige 1024-Bit-RSA-Schlüssel der Verschlüsselungssoftware GnuPG für Android, Linux, macOS und Windows zu extrahieren. Dafür benutzten sie eine bekannte aber ungepatchte Sicherheitslücke in der Bibliothek Libgcrypt, wie Bleeping Computer berichtet.

Die Bibliothek nutzt demnach eine als „Sliding Windows“ bezeichnete Methode um einige der für die Verschlüsselung benötigten mathematischen Berechnungen durchzuführen. Diese ist jedoch anfällig für Seitenkanalangriffe, was Unbefugten wiederum den Zugriff auf Daten ermöglicht.

Während der von den Forschern entwickelte Algorithmus RSA-Schlüssel mit einer Länge von 1024 Bit stets vollständig wiederherstellt, ist er bei Schlüsseln mit einer Länge von 2048 Bit zumindest in 13 Prozent der Fälle erfolgreich. Die privaten RSA-Schlüssel erlauben es wiederum, jegliche verschlüsselte Dateien wie Dokumente, Fotos und E-Mails wiederherzustellen.

Das für die Pflege der Bibliothek Libgcrypt zuständige GnuPG Team weist darauf hin, dass ein Angreifer in der Lage sein muss, auf einem System beliebigen Code auszuführen, um den von den Forschern beschriebenen Seitenkanalangriff durchführen zu können. In der Praxis gebe es jedoch einfachere Wege als einen Seitenkanalangriff, um private Schlüssel zu stehlen.

Die Entwickler warnen aber auch vor einem Szenario, bei dem diese Methode effektiv eingesetzt werden könnte. „Auf Rechnern mit virtuellen Maschinen könnte dieser Angriff von einer VM benutzt werden, um private Schlüssel einer anderen VM zu stehlen.“

Inzwischen liegt auch ein Patch für die fragliche Schwachstelle vor, der die Seitenkanalangriffe unterbindet. Betroffene Nutzer sollten auf die Version 1.7.8 der Bibliothek Libgcrypt umsteigen. Die neue Version steht dem Bericht zufolge auch für Linux-Distributionen wie Debian und Ubuntu zur Verfügung. Red Hat Enterprise Linux sei nicht betroffen.

Loading ...

Tipp: Wie gut kennen Sie sich mit Open Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Share
Published by
Stefan Beiersmann
Tags: SecuritySicherheitVerschlüsselung
7 Jahren ago

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago