https://opennet.ru/openforum/vsluhforumID3/111667.html Разработчики пакета GnuPG выпустили (https://lists.gnupg.org/pipermail/gnupg-announce/2017q2/000408.html) обновление библиотеки Libgcrypt 1.7.8 (http://www.gnu.org/software/libgcrypt/), предлагающей набор компонентов, лежащих в основе механизмов шифрования, применяемых в GnuPG. В новой версии устранена опасная уязвимость (https://eprint.iacr.org/2017/627) (CVE-2017-7526 (https://security-tracker.debian.org/tracker/CVE-2017-7526)), выявленная группой исследователей под руководством Дэниэла Бернштейна (Daniel J. Bernstein), известного эксперта в области криптографии и создания защищённого ПО, разработавший такие проекты, как qmail, djbdns, Ed25519, Curve25519 и ChaCha20-Poly1305. <br><br><br>Уязвимость позволяет восстановить содержимое закрытого ключа RSA через проведение атаки по сторонним каналам (https://ru.wikipedia.org/wiki/%D0%90%D1%82%D0%B0%D0%BA%D0%B0_%D0%BF%D0%BE_%D1%81%D1%82%D0%BE%D1%80%D0%BE%D0%BD%D0%BD%D0%B8%D0%BC_%D0%BA%D0%B0%D0%BD%D0%B0%D0%BB%D0%B0%D0%BC) (side-channel attacks) на базе техники FLUSH+RE https://opennet.ru/openforum/vsluhforumID3/111667.html#20 Wed, 05 Jul 2017 20:39:23 GMT &gt; в багтрекере федоры он тут<br><br>Так речь не о федоре, а о RHEL.<br> https://opennet.ru/openforum/vsluhforumID3/111667.html#17 Wed, 05 Jul 2017 18:47:06 GMT На федору плевать, но пошёл по ссылке. Похоже, у вас ссылка репорт о CVE, а в багтрекере федоры он тут: https://bugzilla.redhat.com/show_bug.cgi?id=1466267<br><br>&gt;This is an automatically created tracking bug! It was created to ensure that one or more security vulnerabilities are fixed in affected versions of fedora-all.<br><br>И статус, внезапно, "ON_QA".<br> https://opennet.ru/openforum/vsluhforumID3/111667.html#15 Wed, 05 Jul 2017 12:58:57 GMT Это ДЖБ так тролит всё что не его 25519.<br>Они все подвержены тайминг атакам.<br><br>А скользящее окно - я думал оно только в эллиптической крипте для умножения точки на скаляр, да и то оно уже не самый лучший метод, довольно давно.<br> https://opennet.ru/openforum/vsluhforumID3/111667.html#11 Wed, 05 Jul 2017 11:39:40 GMT &gt; Любопытные у тебя фантазии <br><br>Так прояснили бы в двух словах. Вроде бы в таком (проблеме не подвержен) случае должен быть традиционный "NOTABUG", а не:<br>&gt; https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-7526<br>&gt; Status:CLOSED WONTFIX https://opennet.ru/openforum/vsluhforumID3/111667.html#9 Wed, 05 Jul 2017 11:16:27 GMT Любопытные у тебя фантазии<br> https://opennet.ru/openforum/vsluhforumID3/111667.html#6 Wed, 05 Jul 2017 10:08:52 GMT &gt; RHEL и CentOS проблеме не подвержены<br><br>Любопытная интерпретация резолюции WONTFIX.<br> https://opennet.ru/openforum/vsluhforumID3/111667.html#5 Wed, 05 Jul 2017 10:01:23 GMT Никак, они усложнили атаку, до "практически нереально". Правда и до этого оно было в том же статусе. :)<br> https://opennet.ru/openforum/vsluhforumID3/111667.html#4 Wed, 05 Jul 2017 08:23:32 GMT Размывают содержимое ключа при сохранении рандомным мусором.<br><br>https://git.gnupg.org/cgi-bin/gitweb.cgi?p=libgcrypt.git;a=commit;h=a9f612def801c8145d551d995475e5d51a4c988c<br> https://opennet.ru/openforum/vsluhforumID3/111667.html#3 Wed, 05 Jul 2017 08:13:26 GMT и как они это смогли исправить?<br><br>складывается ощущение -- будто бы уязвимость в самой идеалогии использования процессором кэша. (уязвимость в ЦПУ-и-его-друзьях)<br>