Un equipo de investigadores ha descubierto una vulnerabilidad en la librería criptográfica libgcrypt. Se trata de una librería usada por el software GnuPG, gracias al cual es posible mandar correos cifrados y autenticados con PGP.
Una vulnerabilidad de GnuPG permite crackear RSA
Al parecer, dicha vulnerabilidad permite crackear la clave RSA por completo. Sin importar la longitud de dicha clave. Aunque, según parece, en claves de más de 4096 bits necesita más tiempo para actuar de forma eficaz. Por tanto, al poder crackear las claves RSA puede descifrar todos los datos que hayan sido cifrados con dicha clave.
Vulnerabilidad en GnuPG
Para los que no lo conozcan, GnuPG es un software para enviar e-mails de manera segura. Además, es un software de código abierto y es compatible con Windows, Linux y macOS. Otros puede que lo conozcan porque Edward Snowden lo utiliza para mantener comunicaciones seguras. El fallo de seguridad detectado en la librería Libgcrypt, que es propensa a ataques de canal lateral. Al parecer, filtra más información de derecha a izquierda. Por lo que permite recuperar la clave RSA.
Aunque, para poder ejecutar este tipo de ataque, el atacante debe tener acceso al hardware en el que ejecutar el software. Algo que sin duda ayuda a reducir las probabilidades de un ataque. Para tranquilidad de muchos. Se trata de un ataque de canal lateral. Dicho ataque, según comentan los expertos, es uno de los más fáciles para poder acceder a claves privadas como la RSA. También comentan que es un ataque que una máquina virtual para robar claves podría utilizar.
[irp]
Por suerte, el equipo de desarrollo de Libgcrypt ha reaccionado con gran rapidez. Ya se ha lanzado una actualización con la que corregir el problema. Hasta el momento está disponible la versión Libgcrypt 1.7.8, que de momento está disponible para Ubuntu y Debian. Lo que recomiendan es comprobar la versión que utilizamos y actualizar cuanto antes