Uma vulnerabilidade no gnupg permite quebrar o rsa

Uma equipe de pesquisadores descobriu uma vulnerabilidade na biblioteca de criptografia libgcrypt. É uma biblioteca usada pelo software GnuPG, graças à qual é possível enviar e- mails criptografados e autenticados com PGP.

Uma vulnerabilidade do GnuPG permite quebrar o RSA

Essa vulnerabilidade parece permitir que a chave RSA seja completamente quebrada. Independentemente do comprimento dessa chave. Embora, ao que parece, em chaves com mais de 4096 bits, seja necessário mais tempo para agir com eficácia. Portanto, ao quebrar as chaves RSA, você pode descriptografar todos os dados que foram criptografados com essa chave.

Vulnerabilidade no GnuPG

Para quem não conhece, o GnuPG é um software para enviar e-mails com segurança. Além disso, é um software de código aberto e é compatível com Windows, Linux e macOS. Outros podem saber porque Edward Snowden o usa para manter comunicações seguras. A falha de segurança detectada na biblioteca Libgcrypt, que é propensa a ataques de canal lateral. Aparentemente, ele filtra mais informações da direita para a esquerda. Por isso, permite recuperar a chave RSA.

Embora, para executar esse tipo de ataque, o invasor precise ter acesso ao hardware no qual executar o software. Algo que certamente ajuda a reduzir as chances de um ataque. Pela tranquilidade de muitos. É um ataque de canal lateral. Esse ataque, de acordo com especialistas, é um dos mais fáceis de acessar chaves privadas, como o RSA. Eles também comentam que é um ataque que uma máquina virtual para roubar chaves poderia usar.

Felizmente, a equipe de desenvolvimento Libgcrypt reagiu muito rapidamente. Uma atualização já foi lançada para corrigir o problema. Até agora, o Libgcrypt 1.7.8 está disponível , atualmente disponível para Ubuntu e Debian. O que eles recomendam é verificar a versão que usamos e atualizar o mais rápido possível