Το πρόγραμμα GnuPG κυκλοφόρησε επίσημη ανακοίνωση την περασμένη εβδομάδα, συμβουλεύοντας τους χρήστες να ενημερώσουν το λογισμικό τους με την τελευταία έκδοση, η οποία περιλαμβάνει μια ενημέρωση κώδικα για ένα κρίσιμο πρόβλημα ασφάλειας που επηρεάζει όλες τις εκδόσεις του GnuPG (GPG, ή Gnu Guard Privacy) που κυκλοφόρησαν τα τελευταία 18 χρόνια .
Το bug επηρεάζει τις ανάμεικτες λειτουργίες στο RNG που χρησιμοποιούνται στο Libgcrypt.
Ο Felix Dörre και ο Vladimir Klebanov από το Ινστιτούτο Τεχνολογίας της Karlsruhe που ανακάλυψαν το πρόβλημα, παρακολουθώντας την CVE-2016-6316 ID, είπαν ότι όποιος εισβολέας θα καταφέρει να αποκτήσει τα 4640 bits από το RNG θα μπορεί να προβλέψει τετριμμένα τα επόμενα 160 bits της εξόδου της.
Ο Werner Koch, ο δημιουργός του GPG, λέει ότι αυτό δεν αποδυναμώνει τα υπάρχοντα κλειδιά και συνιστά στους χρήστες να μην βιάζονται να ανακαλέσουν τα υπάρχοντα κλειδιά. Λέει επίσης ότι είναι απίθανο ένας εισβολέας να μπορέσει να μαντέψει ή να θέσει σε κίνδυνο τα ιδιωτικά κλειδιά που δημιουργούνται μέσω των αλγορίθμων DSA και ElGamel, με βάση τις υπάρχουσες δημόσιες πληροφορίες.
Ο Koch συνιστά ότι για τις άλλες εφαρμογές που υλοποιούν το GPG ή το Libgcrypt θα πρέπει να ενημερώσετε τον κωδικό τους, λέει ότι όλες οι εκδόσεις που κυκλοφόρησαν πριν από της 17 Αυγούστου του 2016, επηρεάζονται, σε όλες τις πλατφόρμες OS.
Ο Koch κυκλοφόρησε τις εκδόσεις GPG/GnuPG 1.4.21 και 2.1.15 για την αντιμετώπιση αυτού του ζητήματος. Ασφαλείς εκδόσεις του Libgcrypt είναι η 1.7.3, 1.6.6 και η 1.5.6.
Το GPG/GnuPG είναι ένα πακέτο λογισμικού που επιτρέπει στους χρήστες να κρυπτογραφούν τις επικοινωνίες τους. Οι χρήστες το εγκατασταθούν για να κρυπτογραφήσουν τις ανταλλαγές των e-mail, αλλά το βασικό πακέτο είναι επίσης ενσωματωμένο σε πολλά άλλα προϊόντα για να παρέχει την υποστήριξη της κρυπτογράφησης.
