GnuPG-Kryptobibliothek: RSA-Verschlüsselung geknackt

Publiziert am 5. Juli 2017 von Günter Born

Sicherheitsforscher haben in einem Papier Verfahren beschrieben, wie die RSA-Verschlüsselung für Schlüssel mit 1024 Bit Länge bei Verwendung älterer Versionen der GnuPG-Kryptobibliothek Libgcrypt geknackt werden können.

Anzeige

Die GnuPG-Kryptobibliothek Libgcrypt wird als generische Bibliothek in vielen Produkten, u.a. Linux, zur Verschlüsselung eingesetzt. Bereits am 18. August 2016 hatte Golem hier über Schwächen in der Berechnung von Zufallszahlen bei GnuPG und eine seit 18 Jahren schlummernde Sicherheitslücke berichtet.

Nun berichten Webseiten wie The Hacker News, Bleeping Computer und heise.de, dass es Sicherheitsforschern gelungen ist, über einen Seitenkanalangriff die geheimen RSA-Schlüssel bis zu einer Länge von 1024 Bit zu berechnen – entsprechend verschlüsselte Daten ließen sich so entschlüsseln.

Der Angriff war über ungepatchte Lücken in alten Libgcrypt-Versionen möglich. Inzwischen haben die Entwickler aber die Libgcrypt 1.7.8 freigegeben, die die Sicherheitslücke CVE-2017-7526 fixen soll. Die neue Version der Bibliothek wird über verschiedene Linux-Distributionen verteilt. Wer also Verschlüsselung einsetzt, die auf Libgcrypt aufsetzt, sollte die Version überprüfen. Weitere Details sind bei heise.de nachlesbar.

Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu GnuPG-Kryptobibliothek: RSA-Verschlüsselung geknackt

  1. Tim sagt:
    5. Juli 2017 um 09:04 Uhr

    "Wer also Verschlüsselung einsetzt, die auf Libgcrypt aufsetzt, sollte die Version überorpfen."

    Ich musste gerade schmunzelnd meinen Kaffee absetzen…

    Wie viele Leute diesen obigen Satz wohl gerade lesen und soviel damit anfangen können, als wäre er selbst verschlüsselt?

    Antworten
  2. Wolfgang Schneider sagt:
    5. Juli 2017 um 13:12 Uhr

    Naja Tim, ich muss schmunzeln über deinen Blödsinn, den du da schreibst. Noch nie einen Tippfehler gemacht? Ein intelligenter Mensch übersieht so was.

    Beste Grüße,
    Wolfgang

    Antworten
    • Tim sagt:
      5. Juli 2017 um 20:03 Uhr

      "Ein intelligenter Mensch übersieht so was."

      Ja danke, dann nehme ich dich mal beim Wort!
      Den Tippfehler hab ich gar nicht wahrgenommen!

      Mir ging es eher darum, zu erkennen, welche Verschlüsselung auf Libgcrypt aufsetzt und wie man das überprüft…

      Locker dahingeschrieben, aber es ist eben nicht jeder ein Spezi, wenns um Linux geht… Fällt einem vielleicht auch erst auf, weils eben mal nicht nur um Windows geht, wo man meint sich einigermaßen auszukennen und klarkommt…

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.