GnuPG 2.5.19 引入 ML-KEM(Kyber)後量子加密,2.4 系列兩個月後 EOL
LWN.net / GnuPG · 2026-04-24
GnuPG 2.5.19 於 2026 年 4 月 24 日發布,在 OpenPGP 的加密協定棧中加入 Kyber(官方名稱 ML-KEM,NIST FIPS-203)後量子金鑰封裝機制(KEM),並宣告 GnuPG 2.4 系列將於兩個月後(約 2026 年 6 月)進入 End-of-Life。
ML-KEM 技術背景
ML-KEM(Module Lattice-based Key Encapsulation Mechanism)源自 CRYSTALS-Kyber,以格密碼學(lattice cryptography)為基礎,其安全性依賴學習含錯誤(Module Learning With Errors, MLWE)問題的計算困難性。相較於 RSA 與 ECDH(其安全性可被 Shor 演算法破解的量子電腦威脅),MLWE 目前沒有已知的多項式時間量子演算法。NIST 於 2024 年將其標準化為 FIPS-203,定義了三個參數集:ML-KEM-512(128 位元量子安全等級)、ML-KEM-768(192 位元)、ML-KEM-1024(256 位元)。
在 GnuPG 中的整合
GnuPG 2.5.19 的實作遵循 OpenPGP 後量子加密草案(draft-ietf-openpgp-pqc),以「組合(composite)」模式部署:ML-KEM 與傳統 X25519 或 P-384 ECDH 並行使用,加密訊息需同時滿足兩種機制才能解密。此設計(HPKE 雙 KEM 組合)確保在後量子演算法本身存在潛在缺陷時,傳統演算法仍提供保護。金鑰生成會同時生成複合金鑰對,相關公鑰以新的 OpenPGP 金鑰封包格式傳輸。
2.4 系列 EOL 時間線
GnuPG 2.4 系列(最新 2.4.7)將於 2026 年 6 月達到 End-of-Life,不再接收安全修補。GnuPG 維護者強調版本向後相容,2.5.x 完整讀取 2.4.x 加密的訊息與金鑰。
Google 將 Rust 引入 Pixel 基帶韌體:記憶體安全擴展至無線協定棧
Google Security Blog · 2026-04-10
Google 安全部落格宣布在 Pixel 裝置的基帶(baseband)韌體中開始採用 Rust,將記憶體安全語言覆蓋延伸到 Android 作業系統層之下的無線協定處理堆疊。
基帶的安全角色
基帶處理器(Modem SoC)負責處理 4G/5G 無線協定棧(RRC、NAS、PDCP、RLC 等層),是一個高特權、長期運行且從網路側可直接觸達的攻擊面。Google Project Zero 與 Maddie Stone 等研究者多次示範透過惡意基地台或偽基地台(fake BTS)觸發基帶記憶體安全漏洞,實現零點擊遠端程式碼執行,CVSS 評分通常為 9.0+。
技術挑戰
基帶韌體的 Rust 移植面臨比 Android 核心空間更嚴苛的限制:(1) 嵌入式 RTOS 環境無標準函式庫(no_std);(2) 即時性(real-time)約束對記憶體配置器的延遲有嚴格要求,Rust 預設的堆分配可能不符合;(3) 現有 C 程式碼介面需要大量 FFI 邊界管理;(4) 部分無線協定處理在客製化 DSP 硬體上執行,工具鏈支援有限。Google 表示採用漸進替換策略,優先重寫歷史上有 CVE 記錄的解析器元件(如 NAS 訊息解碼器)。
先前研究基礎
此公告延續了 Google 的記憶體安全移植路線:Android 核心 Rust 支援(2021–2022)、Android Rust 採用一年後記憶體安全漏洞密度降低 1000 倍(2025-11 報告)、韌體安全強化(2023)。基帶是最後幾個尚未被 Rust 覆蓋的高風險 C 程式碼疆域之一。
原始來源:Google Security Blog — Bringing Rust to the Pixel Baseband
GHSA-rpm5-65cw-6hj4:GitPython 高危命令注入——kwargs 底線轉換繞過安全選項驗證
GitHub Security Advisories · 2026-04-25
GHSA-rpm5-65cw-6hj4 為 GitPython(pip 套件)的高危(CVSS 8.8)OS 命令注入漏洞(CWE-78),影響版本 3.1.30–3.1.46,修復版本為 3.1.47。
漏洞機制
GitPython 的 Git.check_unsafe_options() 函式在驗證危險選項(如 --upload-pack、--receive-pack)時,在 kwargs 尚未被轉換為 CLI 旗標之前執行。驗證函式接受以連字號(hyphen)形式的旗標名稱(--upload-pack),而 Git.transform_kwarg() 在後續步驟將 Python kwargs 的底線(underscore)轉換為連字號(upload_pack → --upload-pack)。因此,以底線形式傳入危險選項可完整繞過驗證:
# 被攔截(hyphen 形式)
remote.fetch(**{"upload-pack": "/path/to/attacker"})
# 繞過驗證(underscore 形式,CVSS 8.8)
remote.fetch(upload_pack="/path/to/attacker")受影響的方法
Repo.clone_from()、Remote.fetch()、Remote.pull()、Remote.push() 均受影響。在接受用戶控制的倉庫設定或 kwargs 的 Web 應用、CI/CD 系統中,成功利用可執行任意命令,暴露 SSH 金鑰、API Token 及環境變數。
修復方式
3.1.47 在 check_unsafe_options() 中於驗證前先對 kwargs 執行底線→連字號轉換,確保兩種傳參形式均被攔截。建議立即升級至 3.1.47 或更高版本,或在升級前避免將任何用戶輸入直接作為 GitPython 方法的 kwargs 傳入。
CVE-2026-41520(Cilium):cilium-bugtool 除錯封存洩露憑證與 Secret
GitHub Security Advisories · 2026-04-25
CVE-2026-41520(GHSA-gj49-89wh-h4gj)是 Cilium 網路外掛的高危安全問題,cilium-bugtool 工具在產生支援除錯封存(debug archive)時,意外將敏感資訊(包含 Kubernetes Secret 的明文內容、服務帳號 Token、TLS 憑證)納入封存。
技術細節
cilium-bugtool 是 Cilium 的診斷工具,用於收集 Cilium 代理的狀態與設定資訊以協助問題排查。問題在於工具在序列化 Cilium CRD(如 CiliumNetworkPolicy、CiliumClusterwideNetworkPolicy)及關聯 Kubernetes 資源時,未對包含敏感內容的欄位進行遮罩或省略,導致 Kubernetes Secrets(含 data 欄位的 base64 明文)、Bearer Token、以及 mTLS 憑證私鑰材料可能出現在封存的 JSON/YAML 輸出中。
影響評估
受影響的場景:在生產 Kubernetes 叢集上以 cilium-bugtool 收集診斷資訊,然後將封存發送給外部支援團隊或存入未加密的 S3 bucket。此漏洞本身不允許直接攻擊,但洩露的憑證可被用於橫向移動或存取受保護的下游系統。
修復
修復版本在 bugtool 輸出管線中加入敏感欄位過濾,使用 Kubernetes API 的 Secret 資源時僅輸出 metadata 而不輸出 data。建議升級至包含此修復的 Cilium 版本,並審查過去產生的 bugtool 封存是否曾洩露至不可信環境。
更高效的 Shor 演算法:攻擊橢圓曲線密碼所需量子記憶體縮減 20 倍
LWN.net · 2026-04-17
研究者發表了對橢圓曲線密碼(ECC)量子攻擊的顯著優化,LWN 報導指出,新演算法將攻擊 256 位元橢圓曲線離散對數(如 P-256、secp256k1)所需的量子 qubit 數量降低約 20 倍。
背景:Shor 演算法與橢圓曲線
Shor 演算法(1994)可在多項式時間內解決整數分解(攻擊 RSA)與離散對數問題(攻擊 DH/ECDH)。對橢圓曲線的離散對數問題,Shor 演算法的直接應用需要大量量子記憶體(quantun ancilla qubits)進行模數算術。256 位元橢圓曲線的舊有估計需要約 2,330 個邏輯 qubit(不含糾錯開銷)。
新方法
研究者透過改進橢圓曲線點加法的量子電路設計(使用 Montgomery 座標的更高效算術分解)與降低暫存 qubit 數量的方法,使有效攻擊所需量子記憶體降至原估計的約 1/20。在最優容錯量子計算假設下,攻擊 256 位元 ECC 的有效 qubit 需求降至約 116 個邏輯 qubit。
現實意涵
當前最先進量子電腦(IBM、Google)約有 1,000–2,000 個物理 qubit,但邏輯 qubit(含量子糾錯)仍僅為個位數。此研究將理論攻擊閾值大幅降低,但實際威脅仍需數年至十年量子硬體發展。GnuPG 等工具將 ML-KEM 組合進 OpenPGP 的時機與此研究呼應——「先收割後解密」(harvest now, decrypt later)的現實威脅要求現在即開始部署後量子加密。
原始來源:LWN — A more efficient implementation of Shor's algorithm