GPG حفره‌ی ۱۸ ساله‌ی کتابخانه‌ی Libgcypt RG را وصله کرد!

نسخه‌های جدید از کتابخانه‌ی Libgcrypt و Gnu Privacy Guard روز چهارشنبه منتشر شدند و حاوی وصله‌ای امنیتی برای آسیب‌پذیری‌هایی کشف شده در عملکردهای ترکیبی تولیدکننده‌ی اعداد تصادفی Libgcrypt بودند.

این حفره‌ها به‌صورت خصوصی به‌وسیله‌ی فلیکس دوره و ولادیمیر کلبانکوف از مؤسسه‌ی فناوری کارلسروهه آلمان گزارش شده بود. بنا بر مشاوره‌نامه‌ی منتشره از سوی پروژه‌ی GnuPG این حفره در همه‌ی نسخه‌های GnuPG و Libgcrypt از سال ۱۹۹۸ وجود داشته است.

ورنر کخ که GPG را در سال ۱۹۹۷ نوشته، گفته است: «مهاجمی که بتواند ۴۶۴۰ بیت از RNG را به دست بیاورد می‌تواند ۱۶۰ بیت بعدی خروجی را حدس بزند».

GPG نوعی از پیاده‌سازی OpenPGP است و به‌وسیله‌ی نرم‌افزارهای مختلف استفاده می‌شود تا داده‌ها و ارتباطات میان بخش‌ها را رمزنگاری کرده و آن‌ها را به‌صورت دیجیتال امضاء کند. Libgcrypt یک کتابخانه رمزنگاری است که به‌وسیله‌ی GPG از نسخه‌ی ۲.x استفاده شده است.

کخ دیروز نوشت که همه‌ی نسخه‌ها در همه‌ی بسترهای نصب تحت تأثیر این آسیب‌پذیری قرار دارند.

کخ در مشاوره‌نامه منتشره نوشته است: «اولین تجزیه و تحلیل از تأثیر این حفره در GnuPG نشان می‌دهد که کلیدهای موجود RSA تضعیف نشده‌اند. در مورد کلیدهای DSA و Elgamal باید گفت که بعید است که کلید خصوصی بتواند با استفاده از سایر اطلاعات عمومی حدس زده شود. این موضوع نیاز به تحقیق بیشتر دارد و من نمی‌توانم به سرعت پیشنهاد کنم که کلیدها را لغو کنند».

به درخواستی که برای توضیحات بیشتر از سوی کخ صورت گرفته است، تا زمان انتشار این مطلب پاسخ داده نشده است.

به کاربران توصیه شده است که یا منتظر وصله تولیدکننده باشند و یا اینکه نرم‌افزارهای خانگی که از GPG ۲.۰ و یا ۲.۱.x استفاده می‌کنند، به‌روزرسانی شوند. در مورد نسخه‌های قبل‌تر از GPG نظیر ۱.۴.x از کاربران خواسته شده است که بی‌درنگ به نسخه‌ی GPG ۱.۴.۲۱ به‌روزرسانی کنند.

مشکلات مالی کخ برای حفظ بستر GPG بیش از یک سال پیش و بعد از چاپ مطلبی در نشریه‌ی Pro Publica خبرساز شد. در آن زمان ادامه اجرای این پروژه بدون پول مانده بود و درحالی‌که کخ امیدوار بود ۱۳۷ هزار دلار برای آن جمع‌آوری کند تنها ۴۳ هزار دلار برای آن سرمایه‌گذاری شده بود. کخ این پول را برای افزایش حقوق خود و استخدام یک توسعه‌دهنده نیاز داشت.

مدت کوتاهی پس‌ از انتشار مقاله در نشریه‌ی Pro Publica، کمک‌های مالی از سوی افراد خیر و سرمایه‌گذاران در زیرساخت‌ها به سمت GPG سراریز شد تا به مبلغ ۱۲۰ هزار دلار رسید.

کخ در آن زمان نوشت: «من به‌عنوان نویسنده‌ی اصلی GnuPG، مایلم از هرکسی که از این پروژه پشتیبانی و حمایت مالی کرده است تشکر کنم؛ چه این کمک مالی کوچک و چه بزرگ بوده باشد؛ و از همه کسانی که به این پروژه یاری رسانده‌اند چه با مشارکت‌های و حمایت‌های تجاری، چه کار بر روی نرم‌افزار و حتی برای گفتن کلمات دلگرم‌کننده سپاسگزاری می‌کنم».

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.