Libgcrypt 1.8.5 がリリース【セキュリティ・アップデート】

no extension

GnuPG でも使われている GNU の暗号ライブラリ Libgcrypt の 1.8.5 がリリースされた。

今回はセキュリティ・アップデートとなる。

This release fixes an ECDSA side-channel attack.

以上を含む主な変更点は以下のとおりだ。

  • Bug fixes:
    • Add mitigation against an ECDSA timing attack. [T4626,CVE-2019-13627]
    • Improve ECDSA unblinding.
  • Other features:
    • Provide a pkg-config file for libgcrypt.

Release-info: https://dev.gnupg.org/T4683

一般的にサイドチャネル攻撃は成立条件が複雑になることが多いので深刻度は高くならないのだが,計画的にアップデートを行ってほしい。

Linux 等では Libgcrypt のみを入れ替えれば済む(筈)なのだが, Windows 版の GnuPG などはパッケージに Libgcrypt のバイナリが含まれているので,今後のリリース情報に注意すること。

さて Ubuntu はどうするんだろうねぇ。 GnuPG 2.2.17 のセキュリティ・アップデートに関してもまるっと無視している。 ホンマ Ubuntu ってセキュリティに無頓着だよなぁ。

GnuPGLibgcrypt をビルドする環境を早急に整える必要があるのだが,今はちょっと無理なんだよね。 もうしばらくは我慢我慢我慢。

追記 2020-0114

Ubuntu がようやく今回の脆弱性に対応したようだが…

Libgcrypt 1.8.4 へのバックポート・パッチかよ orz

参考図書

photo
暗号化 プライバシーを救った反乱者たち
スティーブン・レビー (著), 斉藤 隆央 (翻訳)
紀伊國屋書店 2002-02-16
単行本
4314009071 (ASIN), 9784314009072 (EAN), 4314009071 (ISBN)
評価     

20世紀末,暗号技術の世界で何があったのか。知りたかったらこちらを読むべし!

reviewed by Spiegel on 2015-03-09 (powered by PA-APIv5)

photo
暗号技術入門 第3版 秘密の国のアリス
結城 浩 (著)
SBクリエイティブ 2015-08-25 (Release 2015-09-17)
Kindle版
B015643CPE (ASIN)
評価     

SHA-3 や Bitcoin/Blockchain など新しい知見や技術要素を大幅追加。暗号技術を使うだけならこれ1冊でとりあえず無問題。

reviewed by Spiegel on 2015-09-20 (powered by PA-APIv5)