شکستن الگوریتم رمزنگاری RSA با طول کلید ۱۰۲۴ بیت، در کتابخانه‌ی رمزنگاریِ GnuPG

کمیته رکن چهارم – محققان امنیتی یک آسیب‌پذیری حیاتی را در کتابخانه‌ی رمزنگاری GnuPG کشف کردند که به آن‌ها اجازه می‌داد رمزنگاری‌‌های RAS با طول کلید ۱۰۲۴ بیتی را شکسته و به کلیدهای امنیتی برای رمزگشایی داده‌ها دست یابند. این کتابخانه متن‌باز بوده و در نرم‌افزار بسیاری از سامانه‌ عامل‌ها از جمله لینوکس، ویندوز، مک و بی‌اس‌دی مورد استفاده قرار گرفته است.

به گزارش کمیته رکن چهارم،این همان نرم‌افزاری است که افشاگر معروف آژانس امنیت ملی آمریکا، ادوارد اسنودن برای ارتباط امن با نهادهای قانونی مورد استفاده قرار داده بود. این آسیب‌پذیری با شناسه‌ی CVE-۲۰۱۷-۷۵۲۶ در کتابخانه‌ی Libgcrypt که GnuPG از آن استفاده می‌کند، وجود دارد. به اثبات رسیده که در این کتابخانه آسیب‌پذیریِ کانال جانبی FLUSH+RELOAD وجود دارد.

گروهی از محققان امنیتی متوجه شدند که در کتابخانه‌ی libgcrypt در روش «پنجره‌ی لغزان چپ به راست»، نشت اطلاعات ریاضی مرتبط با رمزنگاری صورت می‌گیرد و امکان بازیابی کلیدهای رمزنگاری RSA را برای آن‌ها فراهم می‌کند. در این حمله، مهاجمان با تجزیه و تحلیل استفاده از حافظه و یا امواج الکترومغناطیس که از دستگاه خارج می‌شود، می‌توانند کلیدهای رمزنگاری را استخراج کنند.

محققان امنیتی همچنان اعلام کردند که این حمله‌ی کانال جانبی در مورد الگوریتم RSA با طول کلید ۲۰۴۸ بیت نیز به‌خوبی عمل می‌کند ولی بدیهی است که در این حمله به توان پردازشی بیشتری نیاز است. کتابخانه‌ی Libgcrypt نیز در نسخه‌‌ی جدید ۱.۷.۸ این آسیب‌پذیری را برطرف کرده و توزیع‌های دبیان و اوبونتو نیز این به‌روزرسانی‌ها را دریافت کرده‌اند. به کاربران توصیه می‌کنیم تا از آخرین نسخه‌ی کتابخانه‌ی Libgcrypt در سامانه‌های خود استفاده کنند.

منبع:

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.