News 27.11.2003, 13:15 Uhr

Schwachstelle in Verschlüsselungssoftware GnuPG

In der Sicherheits-Mailing-Liste Full Disclosure wird von einem gefährlichen Leck im Open-Source-Tool GnuPG gewarnt.
Wie Werner Koch auf Full Disclosure [1] informiert, steckt der Fehler im Umgang von GnuPG mit so genannten ElGamal-Schlüsseln. Die Schwachstelle ermögliche es, diese zu knacken. Betroffen seien alle ElGamal-Schlüssel des Typs 20 (signieren und verschlüsseln), die mit GnuPG 1.0.2 oder höher erzeugt wurden. Als Lösung empfiehlt Werner Koch keine Schlüssel dieses Typs zu benutzen. In kommenden Versionen von GnuPG soll das Feature zum Erzeugen von ElGamal-Signaturen und Typ-20-Schlüsseln nicht mehr vorhanden sein. Ein entsprechender Patch findet sich bereits jetzt in der Mitteilung von Werner Koch.

Kommentare

Es sind keine Kommentare vorhanden.