Onderzoekers van de TU Eindhoven en verschillende andere buitenlandse universiteiten hebben een kwetsbaarheid in een encryptiebibliotheek van GnuPG ontdekt waardoor het mogelijk is om in bepaalde gevallen een RSA-encryptiesleutel te achterhalen, zo blijkt uit een recent gepubliceerd rapport (pdf).

GnuPG is een gratis implementatie van de OpenPGP-standaard die wordt gebruikt voor het versleutelen van data en communicatie. De onderzoekers bedachten een sidechannel-aanval tegen Libgcrypt, een encryptiebibliotheek waar GnuPG gebruik van maakt. De bibliotheek blijkt informatie te lekken die door een aanvaller kan worden gebruikt om de rsa-encryptiesleutel te reconstrueren. Hiermee is het vervolgens mogelijk om informatie te ontsleutelen. Om de aanval uit te voeren moet een aanvaller wel willekeurige software kunnen uitvoeren op de hardware waar de RSA-encryptiesleutel wordt gebruikt.

Volgens de ontwikkelaars van GnuPG is er in dit geval al sprake van "game over". Een aanvaller heeft in deze situatie namelijk de beschikking over eenvoudigere manieren om de privésleutels te stelen dan het uitvoeren van deze sidechannel-aanval. De ontwikkelaars erkennen dat op systemen met virtual machines de aanval kan worden gebruikt om de privésleutels van andere virtual machines op het systeem te stelen. Het probleem is opgelost in Libgcrypt 1.7.8. Fedora, Debian en Ubuntu hebben updates beschikbaar gesteld, zo meldt het Nationaal Cyber Security Centrum van het ministerie van Veiligheid en Justitie.