Seitenkanalangriff: RSA-Verschlüsselung der GnuPG-Kryptobibliothek geknackt
Unter dem Titel "Sliding Right into Disaster" haben mehrere namhafte Krypto-Experten ein Paper vorgelegt, das einen praktischen Angriff auf RSA-Schlüssel mit 1024 Bit Länge der GnuPG-Kryptobibliothek Libgcrypt beschreibt.
(Bild: Jessica Paterson, CC BY 2.0)
- Fabian A. Scherschel
Ältere Versionen der in GnuPG verbauten Kryptobibliothek Libgcrypt sind anfällig für eine Seitenkanalattacke, die es ermöglicht, geheime RSA-Schlüssel bis zu einer Länge von 1024 Bit im Verschlüsselungsbetrieb auszulesen (in 13 Prozent der Fälle kann sogar ein RSA-2048-Schlüssel ausgelesen werden). Dazu muss der Angreifer allerdings bereits beliebigen Code auf dem System ausführen können, auf dem der Schlüssel benutzt wird.
Ein Patch ist bereits verteilt
In der Regel würde man in einem solchen Fall davon ausgehen, dass der Schlüssel sowieso kompromittiert werden kann. Der Angriff könnte allerdings durchaus dafür verwendet werden, auf virtualisierten Systemen die Schlüssel einer virtuellen Maschine aus einer anderen VM heraus zu stehlen. Die GnuPG-Entwickler haben die Sicherheitslücke mit Version 1.7.8 von Libgcrypt geschlossen – dieses Sicherheitsupdate wurde bereits von den meisten Linux-Distributionen verteilt. GnuPG-Versionen für andere Betriebssysteme, die mit Libgcrypt gebündelt ausgeliefert werden, sollten in naher Zukunft ebenfalls Updates enthalten.
Entdeckt haben den Angriff eine Gruppe namhafte Kryptografen, darunter unter anderem Daniel J. Bernstein, Nadia Heninger, Tanja Lange und Yuval Yarom. Er beruht darauf, dass Libgcrypt bei Rechenoperationen zur Berechnung von Potenzen eine Sliding-Window-Methode einsetzt. Sie konnten in ihrem Paper "Sliding Right into Disaster" zeigen, dass hierbei die Richtung der Rechenoperation eine Rolle spielt. So kann ein Angreifer bei dem bisher in der Bibliothek implementierten Verfahren (Left-to-Right Sliding Window) genug Informationen aus dem Prozessor-Cache auslesen, um den geheimen RSA-Schlüssel zu rekonstruieren. Bisher waren Entwickler entsprechender Kryptosysteme laut der Forscher davon ausgegangen, dass die Richtung der Sliding-Window-Operation keine Rolle spielt.
Das Problem wird lediglich umgangen
Laut Bernstein et al. hatten die Entwickler von Libgcrypt einen eingereichten Patch, der den im Paper beschriebenen Angriff verhindert hätte, abgelehnt. Der Patch hatte zur Grundlage, statt des bisherigen Sliding Windows ein Fixed Window für entsprechende Rechenoperationen zu verwenden. Stattdessen wurde beim nun veröffentlichten Patch für Libgcrypt eine Schutzfunktion namens Exponent Blinding eingebaut, welche die über den Seitenkanal geleakten Daten nutzlos machen soll. Ob das den durch die Forscher beschriebenen Angriff gänzlich verhindert, wird sich noch zeigen müssen.
Die Forscher geben außerdem zu bedenken, dass andere Kryptobibliotheken und diverse Umsetzungen der RSA-Verschlüsselung unter Umständen ähnliche Schwachstellen haben wie Libgcrypt. Besonders, da die Umsetzung mit Left-to-Right Sliding Window in der einschlägigen Literatur mit Abstand die verbreitetste zu sein scheint. (fab)
