محققان امنیتی توانستند بر روی الگوریتم رمزنگاری RSA 1024 بیتی حملات کانال جانبی انجام داده و کلیدهای رمزنگاری آن را استخراج کنند. آن ها آسیب پذیری با شناسه ی CVE-2017-7526 را در کتابخانه ی رمزنگاری GnuPG کشف کردند که به آن ها اجازه ی استخراج کلیدهای رمزگشایی در الگوریتم RSA را می داد.
کتابخانه ی GnuPG نرم افزار متنبازی است که در حال حاضر در سیستم عاملهای مختلفی از جمله لینوکس، ویندوز و مک مورد استفاده قرار گرفته است. این آسیبپذیری در کتابخانهی Libgcrypt وجود دارد که در کتابخانهی رمزنگاری GnuPG مورد استفاده قرار گرفته است. محققان میگویند در کتابخانهی libgcrypt در متد «پنجرهی لغزان چپ به راست» اطلاعات زیادی افشاء میشود که محققان میتوانند کلیدهای رمزگشایی را بدست آورند.
محققان با حملهی کانال جانبی و تحلیل میزان مصرف حافظه و یا امواج الکترومغناطیس که ساطع میشود، میتوانند در فرآیند رمزگشایی، کلیدها را استخراج کنند. محققان اشاره کردند برای اجرای این حمله، مهاجم باید بتواند نرمافزارهای دلخواه خود را بر روی سختافزاری که کلیدهای خصوصی بر روی آن ذخیره شدهاند اجرا کند. آنها همچنین اعلام کردند در یک محیط مجازیسازی، یک ماشین مجازی میتواند از این حمله برای سرقت کلیدها از یک ماشین دیگر استفاده کند.
به گزارش محققان، این حملهی کانال جانبی میتواند بهخوبی بر روی الگوریتم RSA 2048 بیتی نیز عمل کند و گفته شده بر روی ۱۳ درصد از کلیدها مؤثر بوده است. پروژهی GnuPG، نسخهی ۱٫۷٫۸ از کتابخانهی آسیبپذیر Libgcrypt را منتشر کرده تا این حملهی کانال جانبی را برطرف کند. برای نسخههای این کتابخانه در توزیعهای لینوکس اوبونتو و دبیان نیز بهروزرسانی منتشر شده و ضروری است تا کاربران سیستمهای خود را بهروزرسانی کنند.