Update dicht side-channel kwetsbaarheid in GnuPG Libgcrypt
Het Nationaal Cyber Security Centrum (NCSC) wijst op een side-channelkwetsbaarheid in Libgcrypt die is verholpen met een update. Libgcrypt is een encryptiebibliotheek die door GnuPG wordt gebruikt.
GnuPG is een gratis implementatie van de OpenPGP-standaard. De implementatie maakt het mogelijk data en communicatie te versleutelen. Onderzoekers van verschillende universiteiten zijn er echter in geslaagd een side-channel aanval uit te voeren (pdf) tegen Libgcrypt. Hierdoor is het mogelijk de bibliotheek data te laten lekken, waarmee de RSA-encryptiesleutel van gebruikers kan worden gereconstrueerd. Dit maakt het mogelijk versleutelde data te ontsleutelen.
Impact
De ontwikkelaars van GnuPG erkennen het probleem, maar wijzen erop dat de aanval alleen kan worden uitgevoerd als de aanvaller in staat is willekeurige software uit te voeren op de hardware waarop de RSA-encryptiesleutel wordt gebruikt. De ontwikkelaars stellen dat een aanvaller in deze situatie eenvoudigere manieren tot zijn beschikking heeft om privésleutels te stelen. Wel erkennen de ontwikkelaars echter ook dat de aanval kan worden gebruikt om RSA-encryptiesleutels te stelen van virtuele machines te stelen.
De kwetsbaarheid is verholpen in Libgcrypt 1.7.8. Deze versie is inmiddels geïmplementeerd in Debian, Fedora en Ubuntu, die allen een beveiligingsupdate hebben uitgebracht.
Dossiers
Meer over
Lees ook
Encryptie is bezig aan een stevige opmars
Encryptie, het versleutelen van informatie om deze onleesbaar te maken voor onbevoegden, wordt steeds belangrijker nu er veel meer aandacht is voor dataveiligheid en privacy dankzij onthullingen over de afluisterpraktijken van veiligheidsdiensten en de grote data hacks die in het nieuws komen. Denk aan de recent uitgekomen hack van 2G-simkaarten b1
België nog lang niet cyberveilig, volgens ITU-onderzoek
Tijdens het International Cyber Security Strategy (ICSS) Congres in Leuven gunde Roberto Tavano, security expert bij Unisys, het aanwezige publiek een inkijk in de resultaten van een onderzoek van de International Telecommunication Union (ITU). Opvallendste conclusie: België scoort bijzonder matig in dit onderzoek: Europees zijn ze slechts 22ste e1
Nieuwe Amerikaanse overheidsdienst moet informatiedeling van cyberdreigingen optimaliseren
Een nieuwe overheidsdienst gaat zich in de Verenigde Staten specifiek richten op digitale dreigingen. De dienst wordt tussen andere overheidsdiensten waaronder inlichtingendiensten geplaatst en moet gaan zorgen dat informatie optimaal wordt gedeeld. Dit moet helpen cyberdreigingen eerder te identificeren. De nieuwe dienst heet het Cyber Threat Int1