Một lỗ hổng trong gnupg cho phép bạn bẻ khóa rsa

Một nhóm các nhà nghiên cứu đã phát hiện ra một lỗ hổng trong thư viện tiền điện tử libgcrypt. Đây là một thư viện được sử dụng bởi phần mềm GnuPG, nhờ đó có thể gửi email được mã hóa và xác thực bằng PGP.

Lỗ hổng GnuPG cho phép bạn bẻ khóa RSA

Lỗ hổng này dường như cho phép khóa RSA bị bẻ khóa hoàn toàn. Bất kể chiều dài của phím đó. Mặc dù, có vẻ như, trong các khóa có hơn 4096 bit, cần nhiều thời gian hơn để hành động hiệu quả. Do đó, bằng cách có thể bẻ khóa các khóa RSA, bạn có thể giải mã tất cả dữ liệu đã được mã hóa bằng khóa đó.

Lỗ hổng GnuPG

Đối với những người không biết điều đó, GnuPG là một phần mềm để gửi email một cách an toàn. Hơn nữa, nó là phần mềm nguồn mở và tương thích với Windows, Linux và macOS. Những người khác có thể biết điều đó bởi vì Edward Snowden sử dụng nó để duy trì liên lạc an toàn. Lỗ hổng bảo mật được phát hiện trong thư viện Libgcrypt, dễ bị tấn công kênh bên. Rõ ràng, nó lọc thêm thông tin từ phải sang trái. Vì vậy, nó cho phép khôi phục khóa RSA.

Mặc dù, để thực hiện kiểu tấn công này, kẻ tấn công phải có quyền truy cập vào phần cứng để thực thi phần mềm. Một cái gì đó chắc chắn giúp làm giảm cơ hội của một cuộc tấn công. Vì sự yên tĩnh của nhiều người. Đây là một cuộc tấn công kênh bên. Cuộc tấn công này, theo các chuyên gia, là một trong những cách dễ dàng nhất để truy cập các khóa riêng như RSA. Họ cũng nhận xét rằng đó là một cuộc tấn công mà một máy ảo để đánh cắp các phím có thể sử dụng.

May mắn thay, nhóm phát triển Libgcrypt đã phản ứng rất nhanh. Một bản cập nhật đã được phát hành để khắc phục vấn đề. Cho đến nay Libgcrypt 1.7.8 đã có sẵn , hiện đang có sẵn cho Ubuntu và Debian. Những gì họ khuyên là kiểm tra phiên bản chúng tôi sử dụng và cập nhật càng sớm càng tốt