شکستن الگوریتم رمزنگاری RSA با طول کلید ۱۰۲۴ بیت، در کتابخانه‌ی رمزنگاریِ GnuPG

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

محققان امنیتی یک آسیب‌پذیری حیاتی را در کتابخانه‌ی رمزنگاریGnuPGکشف کردند که به آن‌ها اجازه می‌داد رمزنگاری‌‌هایRASبا طول کلید۱۰۲۴بیتی را شکسته و به کلیدهای امنیتی برای رمزگشایی داده‌ها دست یابند. این کتابخانه متن‌باز بوده و در نرم‌افزار بسیاری از سامانه‌ عامل‌ها از جمله لینوکس، ویندوز، مک و بی‌اس‌دی مورد استفاده قرار گرفته است.

این همان نرم‌افزاری است که افشاگر معروف آژانس امنیت ملی آمریکا، ادوارد اسنودن برای ارتباط امن با نهادهای قانونی مورد استفاده قرار داده بود. این آسیب‌پذیری با شناسه‌یCVE-۲۰۱۷-۷۵۲۶در کتابخانه‌یLibgcryptکهGnuPGاز آن استفاده می‌کند، وجود دارد. به اثبات رسیده که در این کتابخانه آسیب‌پذیریِ کانال جانبیFLUSH+RELOADوجود دارد.

گروهی از محققان امنیتی متوجه شدند که در کتابخانه‌یlibgcryptدر روش «پنجره‌ی لغزان چپ به راست»، نشت اطلاعات ریاضی مرتبط با رمزنگاری صورت می‌گیرد و امکان بازیابی کلیدهای رمزنگاریRSAرا برای آن‌ها فراهم می‌کند. در این حمله، مهاجمان با تجزیه و تحلیل استفاده از حافظه و یا امواج الکترومغناطیس که از دستگاه خارج می‌شود، می‌توانند کلیدهای رمزنگاری را استخراج کنند.

محققان امنیتی همچنان اعلام کردند که این حمله‌ی کانال جانبی در مورد الگوریتمRSAبا طول کلید۲۰۴۸بیت نیز به‌خوبی عمل می‌کند ولی بدیهی است که در این حمله به توان پردازشی بیشتری نیاز است. کتابخانه‌یLibgcryptنیز در نسخه‌‌ی جدید۱.۷.۸این آسیب‌پذیری را برطرف کرده و توزیع‌های دبیان و اوبونتو نیز این به‌روزرسانی‌ها را دریافت کرده‌اند. به کاربران توصیه می‌کنیم تا از آخرین نسخه‌ی کتابخانه‌یLibgcryptدر سامانه‌های خود استفاده کنند.