Update dicht side-channel kwetsbaarheid in GnuPG Libgcrypt

  1. 4 jul 2017
  2. 0 reacties

encryptie

Het Nationaal Cyber Security Centrum (NCSC) wijst op een side-channelkwetsbaarheid in Libgcrypt die is verholpen met een update. Libgcrypt is een encryptiebibliotheek die door GnuPG wordt gebruikt.

GnuPG is een gratis implementatie van de OpenPGP-standaard. De implementatie maakt het mogelijk data en communicatie te versleutelen. Onderzoekers van verschillende universiteiten zijn er echter in geslaagd een side-channel aanval uit te voeren (pdf) tegen Libgcrypt. Hierdoor is het mogelijk de bibliotheek data te laten lekken, waarmee de RSA-encryptiesleutel van gebruikers kan worden gereconstrueerd. Dit maakt het mogelijk versleutelde data te ontsleutelen.

Impact

De ontwikkelaars van GnuPG erkennen het probleem, maar wijzen erop dat de aanval alleen kan worden uitgevoerd als de aanvaller in staat is willekeurige software uit te voeren op de hardware waarop de RSA-encryptiesleutel wordt gebruikt. De ontwikkelaars stellen dat een aanvaller in deze situatie eenvoudigere manieren tot zijn beschikking heeft om privésleutels te stelen. Wel erkennen de ontwikkelaars echter ook dat de aanval kan worden gebruikt om RSA-encryptiesleutels te stelen van virtuele machines te stelen.

De kwetsbaarheid is verholpen in Libgcrypt 1.7.8. Deze versie is inmiddels geïmplementeerd in DebianFedora en Ubuntu, die allen een beveiligingsupdate hebben uitgebracht.

Dossiers
Meer over
Lees ook
Nieuwe encryptieoplossing van Ciena verkleint het risico op datalekken via stads- en langeafstandsnetwerken

Nieuwe encryptieoplossing van Ciena verkleint het risico op datalekken via stads- en langeafstandsnetwerken

In de moderne ‘webscale’ wereld worden steeds meer applicaties in de cloud gehost. Bedrijven moeten erop kunnen vertrouwen dat hun gegevens niet alleen ‘in ruste’, maar ook tijdens overdracht veilig blijven. WaveLogic Encryption maakt gebruik van de toonaangevende coherente optische technologie van Ciena om encryptie op de optische laag mogelijk t1

ESET kondigt overname van DESlock+ aan

ESET kondigt overname van DESlock+ aan

IT-beveiligingsbedrijf ESET neemt DESlock+, leverancier van de gelijknamige tool voor data-encryptie, over. De technologie van DESlock+ wordt geïntegreerd in het portfolio van ESET voor zowel de consumenten- als zakelijke markt. "Het belang van sterke encryptie neemt steeds verder toe. De actualiteit heeft diverse malen de gevolgen van gelekte, on1

LastPass: ‘Inhoud van kluis is veilig, ook als hoofdwachtwoord uitlekt’

LastPass: ‘Inhoud van kluis is veilig, ook als hoofdwachtwoord uitlekt’

De wachtwoorden die gebruikers hebben opgeslagen in een kluis bij LastPass zijn door de recente hack niet in gevaar. Zelfs als aanvallers het hoofdwachtwoord van gebruikers weten te achterhalen kunnen zij hiermee geen toegang krijgen tot content in de LastPass-kluis van gebruikers. Dit stelt het bedrijf in een geüpdatet verklaring die eerder al op1