В минувшую среду появились новые версии Libgcrypt и Gnu Privacy Guard (GnuPG, GPG), в которых были устранены уязвимости, присутствовавшие в функциях микширования, используемых генератором случайных чисел в Libgcrypt.

Об уязвимостях в частном порядке сообщили Феликс Дёрре (Felix Dörre) и Владимир Клебанов из Технологического института Карлсруэ, Германия. Согласно информационному бюллетеню, уязвимость присутствовала в GnuPG и Libgcrypt аж с 1998 года.

«Атакующий, способный заполучить 4640 бит, созданных генератором случайных чисел, может с легкостью предугадать следующие 160 бит», — заявил Вернер Кох (Werner Koch), создавший GPG в далеком 1997 году.

GPG — свободная реализация OpenPGP, позволяющая защитить данные и каналы связи при помощи шифрования и цифровых подписей. Начиная с версии 2.х GPG использует криптографическую библиотеку Libgcrypt.

Уязвимыми являются все версии программы для всех операционных систем.

«Согласно первичному анализу, можно смело сказать, что надежность используемых RSA-ключей не была нарушена. В случае DSA и Elgamal-ключей можно также говорить о том, что закрытые ключи не могут быть скомпрометированы, — гласит информационный бюллетень, опубликованный Кохом. — Ситуацию еще предстоит более глубоко проанализировать, но я не советую в спешном порядке отзывать ключи».

На момент публикации статьи создатель GPG не смог предоставить дополнительных комментариев.

Пользователям рекомендуется либо ожидать выхода патчей, либо же обновить Libgcrypt самостоятельно, если они пользуются собственными приложениями, использующими GPG 2.0.x и 2.1.x. Тем же, кто пользуется ранними версиями GPG, например 1.4.x, настоятельно рекомендуется установить обновление до GPG 1.4.21.

О том, что проект GPG испытывает финансовые трудности, стало известно более года назад благодаря статье Pro Publica. Кампания по сбору средств на поддержание проекта, созданная Кохом в то время, принесла лишь $43 тыс. из необходимых $137 тыс., которые он собирался потратить на то, чтобы нанять еще одного разработчика и выплачивать самому себе зарплату.

После публикации статьи на счет кампании от частных лиц поступили пожертвования в размере 120 тыс. евро, кроме того, поддержать проект вызвались Core Infrastructure Initiative, Facebook и Stripe.

«Я, как основной разработчик GnuPG, хотел бы поблагодарить всех за оказанную поддержку, за помощь пользователям, за работу над программными продуктами и просто за ободряющие слова», — сказал Кох в то время.

Категории: Уязвимости