Side-channel kwetsbaarheid in GnuPG Libgcrypt verholpen

encryptie

Het Nationaal Cyber Security Centrum (NCSC) wijst op een side-channelkwetsbaarheid in Libgcrypt die is verholpen met een update. Libgcrypt is een encryptiebibliotheek die door GnuPG wordt gebruikt.

GnuPG is een gratis implementatie van de OpenPGP-standaard. De implementatie maakt het mogelijk data en communicatie te versleutelen. Onderzoekers van verschillende universiteiten, waaronder de TU Eindhoven, zijn er echter in geslaagd een side-channel aanval uit te voeren (pdf) tegen Libgcrypt. Hierdoor is het mogelijk de bibliotheek data te laten lekken, waarmee de RSA-encryptiesleutel van gebruikers kan worden gereconstrueerd. Dit maakt het mogelijk versleutelde data te ontsleutelen.

Impact

De ontwikkelaars van GnuPG erkennen het probleem, maar wijzen erop dat de aanval alleen kan worden uitgevoerd als de aanvaller in staat is willekeurige software uit te voeren op de hardware waarop de RSA-encryptiesleutel wordt gebruikt. De ontwikkelaars stellen dat een aanvaller in deze situatie eenvoudigere manieren tot zijn beschikking heeft om privésleutels te stelen. Wel erkennen de ontwikkelaars echter ook dat de aanval kan worden gebruikt om RSA-encryptiesleutels te stelen van virtuele machines te stelen.

De kwetsbaarheid is verholpen in Libgcrypt 1.7.8. Deze versie is inmiddels geïmplementeerd in DebianFedora en Ubuntu, die allen een beveiligingsupdate hebben uitgebracht.

Meer over
Lees ook
Cyber Defence moet innovatie versnellen

Cyber Defence moet innovatie versnellen

Wat meer optimisme over onze weerbaarheid voor cyberaanvallen is goed voor Nederland, vindt Roel van Rijsewijk, directeur Cyber Defence bij Thales. Het is ook goed dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid onlangs in het Cybersecuritybeeld Nederland 2019 opnieuw de noodklok luidde over de kwetsbaarheid van de Nederlandse...

Zijn apparatuur en software nog wel te vertrouwen?

Zijn apparatuur en software nog wel te vertrouwen?

Mensen worden via hun identiteitsbewijs, DigiD, gebruikersnaam en wachtwoord gecontroleerd en vertrouwd. Maar hoe zit het eigenlijk met het steeds grotere aantal apparaten? Naarmate meer apparaten met het Internet of Things (IoT) worden verbonden en software (onder andere via DevOps) een grotere rol in ieders leven gaat spelen, wordt digitaal vertrouwen...

'De Benelux loopt achter op het gebied van cybersecurity, India presteert het best'

'De Benelux loopt achter op het gebied van cybersecurity, India presteert het best'

Organisaties over de hele wereld lopen vast in hun voortgang op het gebied van cybersecurity en riskeren verlamming nu cybercriminelen steeds geavanceerder te werk gaan. Dit blijkt uit het rapport 2019 Risk:Value – ‘Destination standstill. Are you asleep at the wheel?’ van NTT Security, een gespecialiseerd beveiligingsbedrijf en expertisecentrum voor...