Libgcrypt og GnuPG lukker alvorligt sikkerhedshul

Artiklen blev oprindeligt publiceret den 23/8/2016

Krypteringsprogrammet GnuPG og det tilhørende programmeringsbibliotek Libgcrypt har lukket et sikkerhedshul i funktionen til dannelse af tilfældige tal. Sårbarheden har eksisteret i 18 år.

Sårbarheden består i, at hvis en angriber får fat i 4640 bit fra funktionen til tilfældige tal, kan vedkommende let forudsige, hvad de næste 160 bit bliver.

En første analyse viser, at sårbarheden tilsyneladende ikke svækker eksisterende RSA-nøgler. Det er også usandsynligt, at den private nøgle under DSA og Elgamal kan gættes.

Fejlen er rettet i GPG 1.4.21 og Libgcrypt 1.7.3, 1.6.6 og 1.5.6.

En række andre programmer anvender også GnuPG eller Libcrypt. Brugere af dem skal afvente opdateringer fra deres producent.

Anbefaling
Opdater GnuPG, hvis du bruger version 1.4.x. Opdater Libcrypt, hvis du bruger GnuPG 2.0.x eller 2.1.x.

Links