RSA-Schlüssel von GnuPG angreifbar

Mehrere namhafte Krypto-Experten haben unter dem Titel “Sliding Right into Disaster” ein Dokument vorgelegt, welches einen (erfolgreichen) praktischen Angriff auf 1024-bit RSA-Schlüssel beschreibt.

Der Fehler liegt dabei in der Kryptobilbiothek Libgcrypt – mittels Seitenkanalattacke ist es möglich, geheime RSA-Schlüssel bis zu einer Länge von 1024 bit auszulesen. Nach einigen Tests konnten sogar in 13% der Fälle 2048-bit RSA-Schlüssel ausgelesen werden. Der Angriff selbst erfolgt dabei über den Prozessor-Cache – bei dem verwendetem Window-Sliding (left-to-right) bleiben genügend Informationen für einen Angreifer im Cache zurück um den geheimen Schlüssel zu rekonstruieren.

“Multiplikationen in Left-to-Right Sliding Windows leaken erheblich mehr Informationen als Right-to-Left.”

GnuPG hat das Problem mit Version 1.7.8 behoben, durch eine neue Schutzfunktion namens Exponent Blinding. Diese soll die im Cache verbleibenden Daten quasi nutzlos machen. Ob der Angriff damit komplett verhindert werden kann, wird sich in den nächsten Tagen und Wochen zeigen.

Nutzer von gebündelten GnuPG-Versionen (zB Windows) werden in naher Zukunft ein entsprechendes Update erhalten, da dort die Libgcrypt nicht einfach ausgetauscht werden kann.