شکسته شدن الگوریتم رمزنگاری RSA 1024 بیتی در کتابخانه‌ی رمزنگاری GnuPG

 

محققان امنیتی توانستند بر روی الگوریتم رمزنگاری RSA 1024 بیتی حملات کانال جانبی انجام داده و کلیدهای رمزنگاری آن را استخراج کنند. آن ها آسیب پذیری با شناسه ی CVE-2017-7526 را در کتابخانه ی رمزنگاری GnuPG کشف کردند که به آن ها اجازه ی استخراج کلیدهای رمزگشایی در الگوریتم RSA را می داد. 


کتابخانه ی GnuPG نرم افزار متن‌بازی است که در حال حاضر در سیستم عامل‌های مختلفی از جمله لینوکس، ویندوز و مک مورد استفاده قرار گرفته است. این آسیب‌پذیری در کتابخانه‌ی Libgcrypt وجود دارد که در کتابخانه‌ی رمزنگاری GnuPG مورد استفاده قرار گرفته است. محققان می‌گویند در کتابخانه‌ی libgcrypt در متد «پنجره‌ی لغزان چپ به راست» اطلاعات زیادی افشاء می‌شود که محققان می‌توانند کلیدهای رمزگشایی را بدست آورند. 


محققان با حمله‌ی کانال جانبی و تحلیل میزان مصرف حافظه و یا امواج الکترومغناطیس که ساطع می‌شود، می‌توانند در فرآیند رمزگشایی، کلیدها را استخراج کنند. محققان اشاره کردند برای اجرای این حمله، مهاجم باید بتواند نرم‌افزارهای دلخواه خود را بر روی سخت‌افزاری که کلیدهای خصوصی بر روی آن ذخیره شده‌اند اجرا کند. آن‌ها همچنین اعلام کردند در یک محیط مجازی‌سازی، یک ماشین مجازی می‌تواند از این حمله برای سرقت کلیدها از یک ماشین دیگر استفاده کند.


به گزارش محققان، این حمله‌ی کانال جانبی می‌تواند به‌خوبی بر روی الگوریتم RSA 2048 بیتی نیز عمل کند و گفته شده بر روی ۱۳ درصد از کلیدها مؤثر بوده است. پروژه‌ی GnuPG، نسخه‌ی ۱٫۷٫۸ از کتابخانه‌ی آسیب‌پذیر Libgcrypt را منتشر کرده تا این حمله‌ی کانال جانبی را برطرف کند. برای نسخه‌های این کتابخانه در توزیع‌های لینوکس اوبونتو و دبیان نیز به‌روزرسانی منتشر شده و ضروری است تا کاربران سیستم‌های خود را به‌روزرسانی کنند.
 

پست‌های مشابه

Leave a Comment