Feix Dörre a Vladimir Klebanov z insitutu v Karlsruhe objevili bezpečnostní chybu v Libgcrypt a GnuPG CVE-2016–6316, která se týká generátoru náhodných čísel v Libgcrypt. Při znalosti 4640 bitů z RNG, lze triviálně odvodit následujících 160 bitů. Chyba je ve všech verzích Libgcrypt a GnuPG od roku 1998.
Včera byly vydány opravené verze knihovny Libgcrypt 1.7.3, 1.6.6 a 1.5.6. Opraveno bylo také GnuPG 1.4.21. Zatím se nezdá, že by šlo chybu využít ke kompromitaci stávajících RSA, DSA ani Elgamal klíčů, tedy není třeba je unáhleně revokovat.
(zdroj: phoronix)
