安全研究人员已经在GnuPG加密库当中发现一项高危安全漏洞(CVE-2017-7526),并成功利用此项漏洞破解RSA-1024加密以提取机密RSA密钥实现数据解密。
Gnu Privacy Guard(GnuPG 或 GPG)是当前许多操作系统(从 Linux 和 FreeBSD ,到 Windows 和 macOS X )最常使用的流行开源加密软件。这个安全漏洞存在于GnuPG所使用的Libgcrypt加密库当中。该密码库易受到FLUSH+RELOAD边信道攻击的影响。
这种三级缓存边信道攻击,要求攻击者能够在 RSA 私钥所用的硬件之上,拥有执行任意软件的权限。攻击者利用这种攻击,通过分析 memory 的使用模式或者设备在解密过程中的电磁输出,就能从系统中获取到加密密钥。
这些研究员在上周的国际密码学研究协会会议上交流了研究成果,论文题为《Sliding right into disaster: Left-to-right sliding windows leak》由来自埃因霍温理工大学,伊利诺伊大学,宾夕法尼亚大学,马里兰大学和阿德莱德等多所大学的多名研究员(包括 Daniel J. Bernstein,Joachim Breitner,Daniel Genkin,Leon Groot Bruinderink,Nadia Heninger,Christine van Vredendaal,Tanja Lange 及 Yuval Yarom )共同署名。