Side-channel kwetsbaarheid in GnuPG Libgcrypt verholpen
Het Nationaal Cyber Security Centrum (NCSC) wijst op een side-channelkwetsbaarheid in Libgcrypt die is verholpen met een update. Libgcrypt is een encryptiebibliotheek die door GnuPG wordt gebruikt.
GnuPG is een gratis implementatie van de OpenPGP-standaard. De implementatie maakt het mogelijk data en communicatie te versleutelen. Onderzoekers van verschillende universiteiten, waaronder de TU Eindhoven, zijn er echter in geslaagd een side-channel aanval uit te voeren (pdf) tegen Libgcrypt. Hierdoor is het mogelijk de bibliotheek data te laten lekken, waarmee de RSA-encryptiesleutel van gebruikers kan worden gereconstrueerd. Dit maakt het mogelijk versleutelde data te ontsleutelen.
Impact
De ontwikkelaars van GnuPG erkennen het probleem, maar wijzen erop dat de aanval alleen kan worden uitgevoerd als de aanvaller in staat is willekeurige software uit te voeren op de hardware waarop de RSA-encryptiesleutel wordt gebruikt. De ontwikkelaars stellen dat een aanvaller in deze situatie eenvoudigere manieren tot zijn beschikking heeft om privésleutels te stelen. Wel erkennen de ontwikkelaars echter ook dat de aanval kan worden gebruikt om RSA-encryptiesleutels te stelen van virtuele machines te stelen.
De kwetsbaarheid is verholpen in Libgcrypt 1.7.8. Deze versie is inmiddels geïmplementeerd in Debian, Fedora en Ubuntu, die allen een beveiligingsupdate hebben uitgebracht.
Meer over
Lees ook
Defensie koopt Zweedse beveiligde telefoons
Het ministerie van Defensie koopt een onbekend aantal beveiligde telefoons van het Zweedse bedrijf Sectra. Het gaat om de Sectra Tiger 7401, dat zowel spraak- als datacommunicatie beschermt tegen afluisteren. Ook heeft defensie een optie genomen op een app die sms- en telefoonverkeer kan versleutelen. Defensie overweegt de Panthon-app aan te schaf1
Nieuwe smartphone vernietigt alle data indien de behuizing wordt geopend
Vliegtuigfabrikant en defensiebedrijf Boeing werkt aan een smartphone die zichzelf uit bescherming kan wissen. Zodra een aanvaller probeert de Boeing Black open te maken wordt alle data direct gewist. Ook versleutelt de veilige smartphone alle vormen van communicatie. Dit meldt persbureau Reuters. De Boeing Black is gericht op de defensiesector en1
Encryptie onmisbaar door privacywetgeving
Privacy staat door toedoen van Edward Snowden en de NSA weer stevig op de kaart, nadat sinds de aanslagen in de VS in 2001 de balans naar veiligheid was doorgeslagen. Met het etiket terrorisme als middel om critici de mond te snoeren, kon bijvoorbeeld het afluisteren van Europese regeringsleiders door de Amerikaanse geheime dienst NSA plaatsvinden1