Abo
  • Services:
Anzeige
Schwachstelle in dem in GnuPG enthaltenen Libgcrypt
Schwachstelle in dem in GnuPG enthaltenen Libgcrypt (Bild: GnuPG/CC-BY-SA 3.0)

Sliding right into disaster: Lücke macht kurze RSA-Schlüssel angreifbar

Schwachstelle in dem in GnuPG enthaltenen Libgcrypt
Schwachstelle in dem in GnuPG enthaltenen Libgcrypt (Bild: GnuPG/CC-BY-SA 3.0)

Sicherheitsexperten ist es gelungen, über einen Seitenkanalangriff 1024-Bit RSA-Schlüssel auszulesen. Möglich wurde dies aufgrund einer Schwachstelle in der Bibliothek Libgcrypt, die auch von GnuPG verwendet wird. Die neue Version 1.7.8 soll das Problem beheben.

Eine Gruppe namhafter Kryptografen um Daniel J. Bernstein hat eine kritische Lücke (CVE-2017-7526) entdeckt, die es erlaubt, 1024-Bit lange RSA-Schlüssel (und mit 13 Prozent Erfolgsrate sogar 2048-Bit-Schlüssel) per Seitenkanalattacke auszulesen. Voraussetzung dafür ist allerdings, dass der Angreifer bereits beliebigen Code auf dem System ausführen kann, auf dem der geheime Schlüssel liegt.

Anzeige

Dieses Szenario ist besonders für virtualisierte Umgebungen relevant, in denen mehrere VMs parallel auf demselben System laufen. In diesem Fall ist es möglich, mit der Kontrolle über eine VM die in separaten VMs liegenden geheimen Schlüssel auszulesen.

Auf die Richtung kommt es an

Bei ihrer Recherche entdeckten die Forscher, dass die von Libgcrypt verwendete Left-to-Right Sliding Window-Methode deutlich mehr Informationen preisgibt als bisher angenommen. "Alle dachten immer, dass die Anzahl an geleakten Exponent Bits selbst dann nicht ausreicht, um einen vollständigen RSA-Schlüssel auszulesen, wenn alle Quadrierungen und Multiplikationen per Seitenkanalangriff beobachtet werden können", schreibt die Gruppe in einem kürzlich veröffentlichten Forschungspapier. Dies stimmt offenbar nicht immer.

Die Forscher hätten erstmals gezeigt, dass die Richtung der Codierung wichtig sei: "Quadrierungen und Multiplikationen in Left-to-Right Sliding Windows leaken erheblich mehr Informationen als Right-to-Left." Diese Informationen könnten genutzt werden, um letztendlich vollständige RSA-1024-Schlüssel aus einem Zielsystem auszulesen. Mit nur wenig Mehraufwand habe der Angriff sogar gegen 13 Prozent der getesteten 2048-Bit-Schlüssel funktioniert.

Entdeckt hat den Angriff eine Gruppe bekannter Kryptografen der Universitäten in Eindhoven, Illinois, Pennsylvania und Maryland, darunter Daniel J. Bernstein, Tanja Lange und Nadia Heninger.

Patch steht bereits zur Verfügung

Das Team um Libgcrypt hat bereits einen Patch bereitgestellt. Das neue Libgcrypt 1.7.8, das schon von Linux-Distributionen wie Ubuntu und Opensuse verteilt wird, soll für die Attacke nicht mehr verwundbar sein. Obwohl die Entdecker der Schwachstelle sogar einen eigenen Patch eingereicht hatten, der die Sliding Windows-Methode durch Fixed Windows ersetzt hätte, wurde dieser offenbar von den Entwicklern abgelehnt, wie Heise berichtet.

Demnach hatte der Patch-Vorschlag der Forschergruppe statt des bisherigen Sliding Windows ein Fixed Window für entsprechende Rechenoperationen verwendet. Die nun für Libgcrypt veröffentlichte Korrektur nutzt dagegen eine Schutzfunktion namens Exponent Blinding, welche die über den Seitenkanal geleakten Informationen unbrauchbar machen soll.


eye home zur Startseite
User_x 06. Jul 2017

Vollmond? Stress mit der Freundin? Mit Hormonen Vollgepackt und du weißt nicht wohin? Das...



Anzeige

Stellenmarkt
  1. ARRK ENGINEERING, München
  2. MBtech Group GmbH & Co. KGaA, Stuttgart
  3. Fresenius Kabi Deutschland GmbH, Oberursel
  4. Radeberger Gruppe KG, Frankfurt am Main


Anzeige
Blu-ray-Angebote

Folgen Sie uns
       


  1. Fahrdienst

    London stoppt Uber, Protest wächst

  2. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  3. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  4. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  5. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog

  6. Die Woche im Video

    Schwachstellen, wohin man schaut

  7. UAV

    Matternet startet Drohnenlieferdienst in der Schweiz

  8. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  9. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  10. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

Apples iPhone X in der Analyse: Ein iPhone voller interessanter Herausforderungen
Apples iPhone X in der Analyse
Ein iPhone voller interessanter Herausforderungen
  1. Smartphone Apple könnte iPhone X verspätet ausliefern
  2. Face ID Apple erlaubt nur ein Gesicht pro iPhone X
  3. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro

  1. Re: Endlich remove für Streams

    Das... | 21:44

  2. Re: Der starke Kleber

    ArcherV | 21:44

  3. Re: Vodafone ist schlimm - Unitymedia funktioniert

    Silberfan | 21:37

  4. Re: Typich das Veralten der Massen

    violator | 21:19

  5. Re: wie kommt ihr darauf, dass QI bei anderen...

    Silberfan | 21:18


  1. 15:37

  2. 15:08

  3. 14:28

  4. 13:28

  5. 11:03

  6. 09:03

  7. 17:43

  8. 17:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel