Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News Disclaimer
18 Jahre lang vorhersehbare Zufallszahlen bei GnuPG

19.08.2016

 zur Newsdatenbank home

Seit 18 Jahren befindet sich im Pseudo-Zufallszahlen-Generator der Kryptofunktion von GnuPG ein Bug (CVE-2016-6313), der die Zufallszahlen der Software vorhersehbar macht. In begrenztem Rahmen kann ein Angreifer, der Zugriff auf die vorhergegangenen Zufallszahlen hat, darauf folgende erraten. Wegen des Bugs müssen PGP-Schlüssel wohl erst einmal nicht ausgetauscht werden. Aber es ist unklar, welche Konsequenzen die Sicherheitslücke genau hat.

Zwei Sicherheitsforscher aus Karlsruhe haben die Lücke in der Kryptobibliothek Libgcrypt entdeckt und beschreiben in ihrem Paper Entropy Loss and Output Predictability in the Libgcrypt PRNG die Details. Ein Angreifer, der 4640 Bits an Zufallszahlen mitschreibt, kann demnach die nächsten 160 Bits erraten. Die Forscher wollen keine Aussagen über den Effekt des Bugs auf generierte PGP-Schlüssel oder andere Krypto-Operationen treffen, betonen sie. Es sollte kein "überhasteter Austausch von Schlüsseln" vorgenommen werden, empfiehlt der GnuPG-Chefentwickler Werner Koch.

Laut Koch sind RSA-Schlüssel nicht von der Sicherheitslücke betroffen. Es laufe noch eine Untersuchung der Entwickler bei den viel seltener genutzten DSA- und Elgamal-Schlüsseln. Aber auch bei diesen Schlüsselpaaren sei es unwahrscheinlich, dass geheime Schlüssel durch öffentlich bekannte Informationen kompromittiert werden können. Aus den Veröffentlichungen lässt sich nicht schließen, ob die Sicherheit von mittels Libgcrypt verschlüsselten oder signierten Nachrichten beeinträchtigt ist und es ist auch nicht bekannt, inwiefern andere Programme betroffen sind, die Libgcrypt für Krypto-Operationen verwenden.

Von der Sicherheitslücke sind alle Libgcrypt- und GnuPG-Versionen, die vor dem 17. August 2016 veröffentlicht wurden, betroffen. Libgcrypt müssen Nutzer von GnuPG-2 aktualisieren, die Versionen 1.7.3, 1.6.6 und 1.5.6 sind von der Lücke nicht betroffen. Die gefixte GnuPG-Version 1.4.21 sollten GnuPG-1-Nutzer so schnell wie möglich installieren. Die Updates haben bereits viele Linux-Distributionen veröffentlicht, andere bereiten sie momentan vor.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89