Das GnuPG-Projekt hat zwei als kritisch eingestufte Sicherheitslücken durch neue Versionen von GnuPG und Libgcrypt geschlossen.
Die Sicherheitslücken hatten Felix Dörre und Vladimir Klebanov vom Karlsruher Institut für Technologie (KIT) entdeckt. Ein Problem steckte im Zufallszahlengenerator von Libgcrypt. Ein Angreifer, dem es gelingt, an 4640 Bit des Random Number Generator zu gelangen, können auf einfachem Weg auf die nächsten 160 Bit schließen. Der Fehler bestehe seit 1998 in allen GnuPG- und Libgcrypt-Versionen, schreibt Werner Koch, Betreuer von GnuPG. Wie Koch weiter schreibt, haben erste Analysen ergeben, dass RSA-Keys davon nicht betroffen sind. Bei DSA- und Elgamal-Keys sei es zumindest unwahrscheinlich, dass der private Schlüssel durch öffentlich zugängliche Informationen vorhersagbar sei, meint Koch. Er rät zur Besonnenheit und dazu, nicht überhastet Keys zurückzuziehen.
Das Einspielen des Updates ist aber dennoch schnellsten empfohlen. Werner Koch hat in seiner Mail die verschiedenen gefixten Versionen und ihre Downloadmöglichkeiten verlinkt.





