Onderzoekers van het Karlsruhe Institute of Technology hebben een ernstig beveiligingslek in GnuPG en Libgcrypt ontdekt waardoor een aanvaller informatie kan achterhalen. GNU Privacy Guard (GnuPG) is software om versleuteld mee te communiceren. Libgcrypt is een cryptografische softwarebibliotheek gebaseerd op de code van GnuPG. In de mixing-functies van de random-number-generator (RNG) van Libgcrypt bevindt zich een lek.
Een aanvaller die 4640 bits van de RNG weet te verkrijgen kan vrij eenvoudig de volgende 160 bits van de uitvoer voorspellen. Het beveiligingsprobleem zou sinds 1998 in alle versies van GnuPG en Libgcrypt aanwezig zijn. Werner Koch, de ontwikkelaar van GnuPG, stel dat uit eerste onderzoek blijkt dat een aanvaller geen privésleutels via de kwetsbaarheid kan voorspellen, maar dat er meer onderzoek is vereist. Er zijn nu nieuwe versies van Libgcrypt en GnuPG verschenen. Gebruikers krijgen het advies die zo snel als mogelijk te installeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.