Side-channel kwetsbaarheid in GnuPG Libgcrypt verholpen
Het Nationaal Cyber Security Centrum (NCSC) wijst op een side-channelkwetsbaarheid in Libgcrypt die is verholpen met een update. Libgcrypt is een encryptiebibliotheek die door GnuPG wordt gebruikt.
GnuPG is een gratis implementatie van de OpenPGP-standaard. De implementatie maakt het mogelijk data en communicatie te versleutelen. Onderzoekers van verschillende universiteiten, waaronder de TU Eindhoven, zijn er echter in geslaagd een side-channel aanval uit te voeren (pdf) tegen Libgcrypt. Hierdoor is het mogelijk de bibliotheek data te laten lekken, waarmee de RSA-encryptiesleutel van gebruikers kan worden gereconstrueerd. Dit maakt het mogelijk versleutelde data te ontsleutelen.
Impact
De ontwikkelaars van GnuPG erkennen het probleem, maar wijzen erop dat de aanval alleen kan worden uitgevoerd als de aanvaller in staat is willekeurige software uit te voeren op de hardware waarop de RSA-encryptiesleutel wordt gebruikt. De ontwikkelaars stellen dat een aanvaller in deze situatie eenvoudigere manieren tot zijn beschikking heeft om privésleutels te stelen. Wel erkennen de ontwikkelaars echter ook dat de aanval kan worden gebruikt om RSA-encryptiesleutels te stelen van virtuele machines te stelen.
De kwetsbaarheid is verholpen in Libgcrypt 1.7.8. Deze versie is inmiddels geïmplementeerd in Debian, Fedora en Ubuntu, die allen een beveiligingsupdate hebben uitgebracht.
Meer over
Lees ook
ETSI gaat standaarden ontwikkelen voor cybersecurity
Het European Telecommunications Standards Institute (ETSI) richt een technische commissie op standaarden gaat ontwikkelen voor cybersecurity. De commissie moet met transparante en betrouwbare standaarden komen om de digital markt veiliger te maken. De technische commissie Cybersecurity gaat standaarden ontwikkelen voor: Cybersecurity De beveiligi1
Virtru krijgt ondersteuning voor Outlook Desktop en Microsoft Office 365
Een voormalig NSA-medewerker schiet burgers en bedrijven nu te hulp hun e-mails te beveiligen. De man is het bedrijf Virtru gestart, dat het mogelijk maakt allerlei e-maildiensten te beveiligen. Hier voegt Virtru vandaag ook ondersteuning voor Outlook Desktop en Microsoft Office 365 aan toe. Virtru bestaat al enige tijd. De software bood tot nu to1
Google versleutelt interne communicatie van Gmail
Google maakt bekend de beveiliging van zijn e-maildienst Gmail te hebben verbeterd. De communicatie tussen servers van Gmail is voortaan versleuteld, waardoor onderschepte communicatie niet langer kan worden ingezien. Onthullingen van Edward Snowden toonde vorig jaar aan dat de Amerikaanse inlichtingendienst communicatie tussen datacenters van gro1