Sliding right into disaster: Lücke macht kurze RSA-Schlüssel angreifbar

Sicherheitsexperten ist es gelungen, über einen Seitenkanalangriff 1024-Bit RSA-Schlüssel auszulesen. Möglich wurde dies aufgrund einer Schwachstelle in der Bibliothek Libgcrypt, die auch von GnuPG verwendet wird. Die neue Version 1.7.8 soll das Problem beheben.

Artikel veröffentlicht am ,
Schwachstelle in dem in GnuPG enthaltenen Libgcrypt
Schwachstelle in dem in GnuPG enthaltenen Libgcrypt (Bild: GnuPG/CC-BY-SA 3.0)

Eine Gruppe namhafter Kryptografen um Daniel J. Bernstein hat eine kritische Lücke (CVE-2017-7526) entdeckt, die es erlaubt, 1024-Bit lange RSA-Schlüssel (und mit 13 Prozent Erfolgsrate sogar 2048-Bit-Schlüssel) per Seitenkanalattacke auszulesen. Voraussetzung dafür ist allerdings, dass der Angreifer bereits beliebigen Code auf dem System ausführen kann, auf dem der geheime Schlüssel liegt.

Stellenmarkt
  1. Senior Software Engineer (m/f/d)
    softgarden e-recruiting gmbh, Saarbrücken
  2. Senior Software Developer (m/w / divers)
    Continental AG, Villingen
Detailsuche

Dieses Szenario ist besonders für virtualisierte Umgebungen relevant, in denen mehrere VMs parallel auf demselben System laufen. In diesem Fall ist es möglich, mit der Kontrolle über eine VM die in separaten VMs liegenden geheimen Schlüssel auszulesen.

Auf die Richtung kommt es an

Bei ihrer Recherche entdeckten die Forscher, dass die von Libgcrypt verwendete Left-to-Right Sliding Window-Methode deutlich mehr Informationen preisgibt als bisher angenommen. "Alle dachten immer, dass die Anzahl an geleakten Exponent Bits selbst dann nicht ausreicht, um einen vollständigen RSA-Schlüssel auszulesen, wenn alle Quadrierungen und Multiplikationen per Seitenkanalangriff beobachtet werden können", schreibt die Gruppe in einem kürzlich veröffentlichten Forschungspapier. Dies stimmt offenbar nicht immer.

Die Forscher hätten erstmals gezeigt, dass die Richtung der Codierung wichtig sei: "Quadrierungen und Multiplikationen in Left-to-Right Sliding Windows leaken erheblich mehr Informationen als Right-to-Left." Diese Informationen könnten genutzt werden, um letztendlich vollständige RSA-1024-Schlüssel aus einem Zielsystem auszulesen. Mit nur wenig Mehraufwand habe der Angriff sogar gegen 13 Prozent der getesteten 2048-Bit-Schlüssel funktioniert.

Golem Karrierewelt
  1. IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop
    14./15.06.2022, Virtuell
  2. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    27./28.06.2022, virtuell
Weitere IT-Trainings

Entdeckt hat den Angriff eine Gruppe bekannter Kryptografen der Universitäten in Eindhoven, Illinois, Pennsylvania und Maryland, darunter Daniel J. Bernstein, Tanja Lange und Nadia Heninger.

Patch steht bereits zur Verfügung

Das Team um Libgcrypt hat bereits einen Patch bereitgestellt. Das neue Libgcrypt 1.7.8, das schon von Linux-Distributionen wie Ubuntu und Opensuse verteilt wird, soll für die Attacke nicht mehr verwundbar sein. Obwohl die Entdecker der Schwachstelle sogar einen eigenen Patch eingereicht hatten, der die Sliding Windows-Methode durch Fixed Windows ersetzt hätte, wurde dieser offenbar von den Entwicklern abgelehnt, wie Heise berichtet.

Demnach hatte der Patch-Vorschlag der Forschergruppe statt des bisherigen Sliding Windows ein Fixed Window für entsprechende Rechenoperationen verwendet. Die nun für Libgcrypt veröffentlichte Korrektur nutzt dagegen eine Schutzfunktion namens Exponent Blinding, welche die über den Seitenkanal geleakten Informationen unbrauchbar machen soll.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


User_x 06. Jul 2017

Vollmond? Stress mit der Freundin? Mit Hormonen Vollgepackt und du weißt nicht wohin? Das...



Aktuell auf der Startseite von Golem.de
Prehistoric Planet
Danke, Apple, für so grandiose Dinosaurier!

Musik von Hans Zimmer, dazu David Attenborough als Sprecher: Apples Prehistoric Planet hat einen Kindheitstraum zum Leben erweckt.
Ein IMHO von Marc Sauter

Prehistoric Planet: Danke, Apple, für so grandiose Dinosaurier!
Artikel
  1. Fahrgastverband Pro Bahn: Wo das 9-Euro-Ticket sicher gilt
    Fahrgastverband Pro Bahn
    Wo das 9-Euro-Ticket sicher gilt

    Die Farbe der Züge ist entscheidend, was bei der Reiseplanung in der Deutsche-Bahn-App wenig nützt. Dafür laufen Fahrscheinkontrollen ins Leere.

  2. Retro Gaming: Wie man einen Emulator programmiert
    Retro Gaming
    Wie man einen Emulator programmiert

    Warum nicht mal selbst einen Emulator programmieren? Das ist lehrreich und macht Spaß - wenn er funktioniert. Wie es geht, zeigen wir am Gameboy.
    Von Johannes Hiltscher

  3. Diskriminierung am Arbeitsplatz: Sexismusvorwurf gegen Microsoft-Management
    Diskriminierung am Arbeitsplatz
    Sexismusvorwurf gegen Microsoft-Management

    Ein neuer Bericht wirft CEO Satya Nadella vor, nicht ausreichend gegen Fehlverhalten in seinem Unternehmen vorzugehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 evtl. bestellbar • Prime Video: Filme leihen für 0,99€ • Gigabyte RTX 3080 12GB günstig wie nie: 1.024€ • MSI Gaming-Monitor 32" 4K günstig wie nie: 999€ • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) • Days of Play (u. a. PS5-Controller 49,99€) [Werbung]
    •  /