Libgcrypt yan kanal saldırısı ile RSA anahtar çalınabiliyor

Libgcrypt yan kanal saldırısı ile RSA anahtar çalınabiliyor
Temmuz 05 10:44 2017 Yazıyı Yazdır

Libgrcypt geliştiricileri, yan kanal (side-channel) saldırılarına karşı yeni bir güncelleme yayınladı. Avustralya, Yeni Zelanda ve ABD’deki çeşitli üniversitelerde bulunan araştırma takımları, yan kanal saldırısı sayesinde RSA gizli anahtarını ortaya çıkarabildiklerini bildirdi.

Araştırmacılar, “sliding windows method for exponentiation” sayesinde eksponent bit’lerin sızdırılabildiğini gösterdiler. Her ne kadar sızan bitlerin RSA anahtarını tam olarak ortaya çıkaramayacağı düşünülse de yapılan sunumlarda RSA-1024 anahtarının tamamının, RSA-2048 anahtarının ise ortalama yüzde 13 oranında ortaya çıkarıldığı gösterilmiş durumda.

Araştırmacılar, Libgcrypt’in 1.7.6 sürümüne, 4 çekirdekli i5-370 işlemcili ve 8GB DDR3-1600 bellekli bir bilgisayarla saldırmışlar. Dolayısıyla gayet sıradan bir bilgisayar ile saldırı yaparak anahtarı elde etmek mümkün. Durumdan Libgrcypt geliştiricileri haberdar edilmiş. Zafiyet CVE-2017-7526 olarak sınıflandırılmış.

Libgcrypt geliştiricileri saldırının tam anlamıyla başarılı olabilmesi için RSA anahtarını barındıran hedef sistemde zararlı yazılımın bulunması gerektiğini belirtiyor. Ayrıca aynı sistemde bulunan sanal bilgisayarlar arasında da anahtar hırsızlığı yapmanın mümkün olduğunun da altını çiziyorlar.

  Kategori:
daha fazla yazı

Yazar Hakkında

Atalay Keleştemur
Atalay Keleştemur

Atalay Keleştemur, siber istihbarat analisti ve PHP güvenlik uzmanı olarak görev yapmaktadır. Linux ve özgür yazılım gönüllüsüdür. Çeşitli kurumlarda sistem yöneticisi ve yazılım geliştiricisi olarak çalışmıştır. Siber İstihbarat isimli kitabın yazarıdır.

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.