Update dicht side-channel kwetsbaarheid in GnuPG Libgcrypt

  1. 4 jul 2017
  2. 0 reacties

encryptie

Het Nationaal Cyber Security Centrum (NCSC) wijst op een side-channelkwetsbaarheid in Libgcrypt die is verholpen met een update. Libgcrypt is een encryptiebibliotheek die door GnuPG wordt gebruikt.

GnuPG is een gratis implementatie van de OpenPGP-standaard. De implementatie maakt het mogelijk data en communicatie te versleutelen. Onderzoekers van verschillende universiteiten zijn er echter in geslaagd een side-channel aanval uit te voeren (pdf) tegen Libgcrypt. Hierdoor is het mogelijk de bibliotheek data te laten lekken, waarmee de RSA-encryptiesleutel van gebruikers kan worden gereconstrueerd. Dit maakt het mogelijk versleutelde data te ontsleutelen.

Impact

De ontwikkelaars van GnuPG erkennen het probleem, maar wijzen erop dat de aanval alleen kan worden uitgevoerd als de aanvaller in staat is willekeurige software uit te voeren op de hardware waarop de RSA-encryptiesleutel wordt gebruikt. De ontwikkelaars stellen dat een aanvaller in deze situatie eenvoudigere manieren tot zijn beschikking heeft om privésleutels te stelen. Wel erkennen de ontwikkelaars echter ook dat de aanval kan worden gebruikt om RSA-encryptiesleutels te stelen van virtuele machines te stelen.

De kwetsbaarheid is verholpen in Libgcrypt 1.7.8. Deze versie is inmiddels geïmplementeerd in DebianFedora en Ubuntu, die allen een beveiligingsupdate hebben uitgebracht.

Dossiers
Meer over
Lees ook
FBI: 'Wij willen geen backdoor in of mastersleutel voor iPhone'

FBI: 'Wij willen geen backdoor in of mastersleutel voor iPhone'

De FBI ontkent een backdoor in de encryptie van iPhones te willen of een mastersleutel tot deze apparaten te willen. De dienst stelt uitsluitend het wachtwoord van de iPhone te willen kunnen achterhalen om gerechtigheid te geven aan de slachtoffers van de terroristische aanslag in San Bernardino, Californië. Dit meldt James Comey, directeur van de1

'FBI-verzoek zou precedent scheppen richting het breken van software’

'FBI-verzoek zou precedent scheppen richting het breken van software’

Samengevat is Apple gevraagd het systeem waarop online vertrouwen al ruim 20 jaar is gebaseerd te doorbreken. Het overheidsverzoek om Apple-certificaten te mogen gebruiken is namelijk vergelijkbaar met het internet hacken. De impact ervan is veel groter dan toegang krijgen tot één apparaat van één terrorist. De fundering van cybersecurity op het i1

SDK van Virtru helpt end-to-end encryptie toe te voegen aan cloud apps

SDK van Virtru helpt end-to-end encryptie toe te voegen aan cloud apps

Virtru lanceert een nieuwe Software Development Kit (SDK) voor het Virtru Encryption-as-a-Service (EaaS) platform. De SDK helpt ontwikkelaars end-to-end versleuteling toe te voegen aan iedere Software-as-a-Service (SaaS) applicatie. Versleuteling is populair sinds de onthullingen van klokkenluider Edward Snowden over massale afluisterpraktijken va1