Libgcrypt 1.6.5 with security fix released
Libgcrypt の 1.6.5 がリリースされた。 セキュリティ・アップデートを含むため,関係している暗号製品(GnuPG を含む)を使用している場合はアップデートする必要がある。
脆弱性の内容
Libgcrypt の 1.6.5 の変更内容は以下の通り。
- Mitigate side-channel attack on ECDH with Weierstrass curves [CVE-2015-7511]. See http://www.cs.tau.ac.IL/~tromer/ecdh/ for details.
- Fix build problem on Solaris.
ECDH (Elliptic Curve Diffie–Hellman key exchange) に対する side-channel attack に対応している。 ただし低減(mitigate)レベル。 一般的に side-channel attack は完全な対処が難しいためこのようなことになる。 詳しくは以下を参照のこと。
- ECDH Key-Extraction via Low-Bandwidth Electromagnetic Attacks on PCs
- Cryptology ePrint Archive: Report 2016/129
影響度(CVSS)
CVE-2015-7511 (CVE-2015-7511 - Red Hat Customer Portal)
CVSSv2 基本値 4.3 (AV:A/AC:M/Au:N/C:P/I:P/A:N)
| 基本評価基準 | 評価値 |
|---|---|
| 攻撃元区分(AV) | 隣接ネットワーク(A) |
| 攻撃条件の複雑さ(AC) | 中(M) |
| 攻撃前の認証要否(Au) | 不要(N) |
| 情報漏えいの可能性(機密性への影響, C) | 部分的(P) |
| 情報改ざんの可能性(完全性への影響, I) | 部分的(P) |
| 業務停止の可能性(可用性への影響, A) | なし(N) |
CVSS についてはデモページを参照のこと。
影響を受ける実装
Windows 版 GnuPG については 2.1.11 の 20160209 版がリリースされているので入れ替えること。
GnuPG や Libgcrypt はよく研究対象にされるので,今回のような脆弱性報告は割とあるのだが,他の暗号実装(たとえば OpenSSL とか)はどうなんだろうと心配になる。 実際どうなんだろう。
参考図書
- 暗号技術入門 第3版 秘密の国のアリス
- 結城 浩 (著)
- SBクリエイティブ 2015-08-25 (Release 2015-09-17)
- Kindle版
- B015643CPE (ASIN)
- 評価
SHA-3 や Bitcoin/Blockchain など新しい知見や技術要素を大幅追加。暗号技術を使うだけならこれ1冊でとりあえず無問題。