Libgcrypt 1.6.5 with security fix released

no extension

Libgcrypt の 1.6.5 がリリースされた。 セキュリティ・アップデートを含むため,関係している暗号製品(GnuPG を含む)を使用している場合はアップデートする必要がある。

脆弱性の内容

Libgcrypt の 1.6.5 の変更内容は以下の通り。

ECDH (Elliptic Curve Diffie–Hellman key exchange) に対する side-channel attack に対応している。 ただし低減(mitigate)レベル。 一般的に side-channel attack は完全な対処が難しいためこのようなことになる。 詳しくは以下を参照のこと。

影響度(CVSS)

CVE-2015-7511 (CVE-2015-7511 - Red Hat Customer Portal

CVSSv2 基本値 4.3 (AV:A/AC:M/Au:N/C:P/I:P/A:N)

基本評価基準 評価値
攻撃元区分(AV) 隣接ネットワーク(A)
攻撃条件の複雑さ(AC) 中(M)
攻撃前の認証要否(Au) 不要(N)
情報漏えいの可能性(機密性への影響, C) 部分的(P)
情報改ざんの可能性(完全性への影響, I) 部分的(P)
業務停止の可能性(可用性への影響, A) なし(N)

CVSS についてはデモページを参照のこと。

影響を受ける実装

  • Libgcrypt を利用する GnuPG 2.x (stable および modern バージョン)

Windows 版 GnuPG については 2.1.11 の 20160209 版がリリースされているので入れ替えること。

GnuPGLibgcrypt はよく研究対象にされるので,今回のような脆弱性報告は割とあるのだが,他の暗号実装(たとえば OpenSSL とか)はどうなんだろうと心配になる。 実際どうなんだろう。

参考図書

photo
暗号技術入門 第3版 秘密の国のアリス
結城 浩 (著)
SBクリエイティブ 2015-08-25 (Release 2015-09-17)
Kindle版
B015643CPE (ASIN)
評価     

SHA-3 や Bitcoin/Blockchain など新しい知見や技術要素を大幅追加。暗号技術を使うだけならこれ1冊でとりあえず無問題。

reviewed by Spiegel on 2015-09-20 (powered by PA-APIv5)