Cryspen araştırmacıları tarafından yeni yapılan bir keşif, kuantum-güvenli şifreleme için kullanılan Kyber anahtar kapsülleme mekanizmasında bir zayıflık ortaya çıkardı. “KyberSlash” olarak adlandırılan bu hata, şifrelemeyi tehlikeye atarak gizli anahtarların kurtarılmasına olanak sağlayabilir.
Kyber, cebirsel örgütler için Şifreleme Suiti (CRYSTALS) algoritmaları dahilindeki Kyber anahtar kapsülleme mekanizmasının resmi uygulamasıdır. Kuantum bilgisayar saldırılarına dayanıklı olacak şekilde tasarlanmış olup, Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) kuantum-güvenli algoritmalar seçkisindedir.
KyberSlash zayıflıkları, Kyber tarafından decapsulation işlemi sırasında gerçekleştirilen belli bölme işlemlerini kullanan zamanlama temelli saldırılardır. Saldırganlar, yürütme süresini analiz ederek, şifrelemeyi tehlikeye atan sırları bulabilirler. Bu tür saldırılar, Kyber uygulayan bir servis, aynı anahtar çiftine birden fazla işlem isteği göndermeye izin verdiğinde mümkündür ve zamanlama farklarının ölçülmesine ve sonunda gizli anahtarın hesaplanmasına olanak sağlar.
Goutam Tamvada, Karthikeyan Bhargavan ve Franziskus Kiefer dahil olmak üzere Cryspen araştırmacıları, KyberSlash zayıflıklarından sorumlu olan sorunlu kodu keşfetti. Kyber’ın geliştiricilerine haber veren Cryspen, 1 Aralık 2023’te bir yama yayımladı. Ancak, etkilenen projelere Kyber uygulamalarını yükseltmeleri gerektiği konusunda bilgilendirme yapma işlemi, Cryspen’in keşiften sonra 15 Aralık’ta başladı. KyberSlash2, Prasanna Ravi ve Matthias Kannwischer tarafından keşfedildikten sonra 30 Aralık’ta yama ile düzeltildi.
Etkilenen projelerin ve düzeltme durumlarının bir listesi derlendi. Bazı projeler tamamen düzeltildi, ancak diğerleri sadece KyberSlash1 için yamalar aldı. Birkaç projenin hala düzeltme almadığı ve KyberSlash zayıflığına karşı savunmasız olduğu görüldü.
KyberSlash’ın etkisi, Kyber uygulamasına ve uygulamada alınan ek güvenlik önlemlerine bağlı olarak değişir. Örneğin, Mullvad VPN, her yeni tünel bağlantısı için benzersiz anahtar çiftleri kullandığından KyberSlash’tan etkilenmediğini belirtmektedir. Bu, zamanlama saldırılarının ardışık bir şekilde gerçekleşmesini engeller.
Zayıflığın ele alınması ve etkilenen uygulamaların düzeltilmesi için çabalara devam edilmektedir. Bununla birlikte, Signal mesajlaşma gibi projeler üzerindeki etki ve sorunu hafifletmek için atacakları adımlar henüz belirlenemedi.
Kyber kullanan kuruluş ve geliştiricilerin, zayıflıktan haberdar olması ve yamaları ve güncellemeleri mümkün olduğunca hızlı uygulamaları önemlidir.
The source of the article is from the blog shakirabrasil.info