» »

Akustični napad na RSA šifrirne ključe

Akustični napad na RSA šifrirne ključe

Akustična kriptoanalza z usmerjenim mikrofonom

Akustična kriptoanaliza z mobilnim telefonom

Slo-Tech - Znani varnostni raziskovalci in kriptoanalitiki Daniel Genkin, Adi Shamir in Eran Tromer so danes objavili članek o akustični kriptoanalizi s pomočjo katere so uspeli rekonstruirati 4096-bitni RSA ključ v približno eni uri. Napad je mogoče izvesti s pomočjo merjenja zvoka, ki ga oddaja računalnik v času dešifriranja sporočila. Med dešifriranjem namreč prihaja do vibracij nekaterih elektronskih komponent, z analizo vibracij pa so najprej uspeli ločiti različne šifrirne ključe, nato pa še ugotovili kako je mogoče bit po bitu rekonstruirati tudi samo vsebino šifrirnih ključev.

Za uspešno izvedbo napada je potrebno uporabiti mikrofon, napad pa je mogoče izvesti tudi s pomočjo pametnega telefona. Z uporabo usmerjenega mikrofona je mogoče zvočne vibracije rekonstruirati iz oddaljenosti do 4 metrov, s pomočjo mobilnega telefona pa iz oddaljenosti do 30 cm.

Raziskovalci so tudi ugotovili, da je poleg akustičnega napada enak napad mogoče izvesti z merjenjem električnega potenciala ohišja računalnika. Le-tega je mogoče izmeriti tako, da se ustrezno opremljen napadalec dotakne ciljnega računalnika z golo roko, oziroma iz ozemljitve VGA, USB ali Ethernet kablov.

Napad so testirali na več računalnikih, deluje pa tudi na TEMPEST oklopljene računalnike.

Več podrobnosti so objavili na spletni strani Erana Tromerja, oziroma v članku RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis.

Napadalci so napad testirali na RSA implementaciji aplikacije GnuPG, različica 1.x. Razvijalci GnuPG in libgcrypt (ki se uporablja v GnuPG 2.x) so v aplikacijo implementirali določene protiukrepe (tim. slepitev šifriranega sporočila, ang. ciphertext blinding), tako da sedaj takšna rekonstrukcija šifrirnega ključa iz GnuPG ni več mogoča, so pa še vedno mogoči nekateri drugi napadi, npr. razločevanje RSA ključev.

S tematiko akustične kriptoanalize se Shamir in Tromer ukvarjata že dobrih 10 let. Tokrat objavljena raziskava dokazuje, da področje tim. posrednih napadov na kriptografijo (ang. channel side attacks) predstavlja eno bolj resnih groženj sodobni informacijski varnosti, saj je številne od njih mogoče izvesti z relativno poceni opremo.

42 komentarjev

Lonsarg ::

Prvotno sem mislil da se uporabi mikrofon, ki se dotika naprave, oziroma je vgrajen. Tole pa je samo WOW, 4 metre...

Zgodovina sprememb…

  • spremenil: Lonsarg ()

BlackMaX ::

Zanimivo kako napad ima tolikšno prednost pred obrambo.

Tisti, ki varujejo imajo res impossible job.

jype ::

Rešitev že obstaja:

bMozart ::

Un__believable :O

Torej očitno je nekaj na tem, kar je blo v Transformerjih =) Kako so lahko elektronske komponente tako glasne? Pa sem mislil, da samo disk in par kondenzatorjev robani :) Kaj pa pametnitelefoni (pocket computers with sensors and phone) tudi oddajajo kakšen sumljiv hrup? =)
I NEED The Point of View Gun effectible on girls too! And then...

RejZoR ::

Kar pomeni, da se da zraven generator, ki trosi random noise in tko prikrije ta zvok.
Angry Sheep Blog @ www.rejzor.com

BlueKnight ::

Tokrat objavljena raziskava dokazuje, da področje tim. posrednih napadov na kriptografijo (ang. channel side attacks) predstavlja eno bolj resnih groženj sodobni informacijski varnosti, saj je številne od njih mogoče izvesti z relativno poceni opremo.


Zame je enako, če ne še bolj resna tista grožnja katere ni mogoče izvesti z poceni opremo, ker ostane praviloma dlje časa nezaznana in delujoča.
Assumption is the mother of all fuckups!
"Under Siege 2:Dark Territory"

alexa-lol ::

To že meji na znanstveno fantastiko.. noro dobro.

Potem če ti en da trojanca, ki snema zvok lahko na podlagi prestrezanja podatkov, četudi šifriranih, dobi tvoj key in se identificira kot ti.

Haniball ::

Zdaj pa nagradno vprašanje: "Koliko let že NSA uporablja ta napad?"

Relanium ::

Čist mogoče, če se marsikdaj sliši že samo scrollanje po straneh.

Tr0n ::

Haniball je izjavil:

Zdaj pa nagradno vprašanje: "Koliko let že NSA uporablja ta napad?"

Od kar obstajajo racunalniki, na katerih se nahajajo informacije. :)

LightBit ::

Dvomim, da to NSA uporablja (tudi če pozna), ker imajo veliko lažje načine.

hojnikb ::

ja, brute force...:))
#brezpodpisa

Spura ::

Problem tega napada je to, da mora racunalnik kriptirat posebej pripravljen set podatkov.

pegasus ::

Tole zgleda smiselno za posamezne tarče v kakih kafičih ... v šundru serverrooma pa izgleda da si varen.

Oberyn ::

Na prvi pogled se mi tole zdi preveč laboratorijski napad za praktično uporabo. Torej če v svoji neposredni bližini detektiram usmerjen mikrofon na stativu s parabolično anteno, večjo od moje glave, potem verjetno postanem rahlo nervozen v vsakem primeru, kaj šele če sem terorist & pedofil ali celo bohnedaj borec proti mučenju živali.

LightBit ::

hojnikb je izjavil:

ja, brute force...:))

Ne, običajen trojanec (oz. stranska vrata v programski ali strojni opremi) ali pa to uredijo pri CA.
Ali pa prestrežejo podatke ko niso šifrirani.

ender ::

bMozart je izjavil:

Kako so lahko elektronske komponente tako glasne? Pa sem mislil, da samo disk in par kondenzatorjev robani :)
Jaz se spomnim, da sem na 286-ki lahko poslušal kdaj je računalnik intenzivno uporabljal RAM - se je iz zaprte kište slišalo.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

trizob ::

Ender, ta je lovska, naše uho ima precej omejen slišni spekter, pa tudi šibkost zvoka lahko naredi tega neslišnega.

Česa takšnega nisem pričakoval, da lahko na tako _dostopen_ način razberejo ključ.

Ideja z generatorjem zvoka, ki bi prikril relevantnega, ni slaba, je pa potratna. Si predstavljate, da vam iz zvočnika na telefonu ali tablici komaj slišno, a neprestano, šumi, ker uporabljate sprotno šifriranje nosilcev podatkov v napravi?

pegasus ::

Ni lovska, pri nekaterih mašinah še danes slišim v zvočnikih, kadar npr. skrolam po web browserju. Ni čist ista stvar (zvočna deluje kot ojačevalec), a je izvor isti.

trizob ::

Izvor zvoka v primeru, ki ga opisuješ, nikakor ni isti (izvor zvoka je tam, kjer ta nastaja - v tvojem primeru je to zvočnik). Morda je isti izvor signala, kar si verjetno imel v mislih, a tudi v to močno dvomim. Tu je resnično veliko dejavnikov, ki lahko na to vplivajo. Je pa res, da sem tudi sam kdaj slišal nekatere _komponentne_, najbrž kakšne usmernike na njih ali še kaj drugega. Da bi pa kar tako vse povprek, celo RAM, lahko slišal, močno dvomim.

3p ::

Meni (smartass) pa se to ne zdi tako čudno, glede no to da je branje porabe energije šolski primer "side channel" napada. Pa še bolj praktičen verjetno.

de199 ::

alexa-lol je izjavil:

Potem če ti en da trojanca, ki snema zvok lahko na podlagi prestrezanja podatkov, četudi šifriranih, dobi tvoj key in se identificira kot ti.

Če je trojanec na PCju potem je lažje skopirati cel key in počakati, da se vtipka geslo..

poweroff ::

RejZoR je izjavil:

Kar pomeni, da se da zraven generator, ki trosi random noise in tko prikrije ta zvok.

Moral bi generirati naključne motnje v točno tem zvočnem spektru. Crypto blinding je boljša rešitev.

3p, power analysis je bolj uporabna v labolatorijskih primerih. Je pa idealna za lomljenje DRM-ja. 8-)
sudo poweroff

Zgodovina sprememb…

  • spremenilo: poweroff ()

trizob ::

poweroff je izjavil:

RejZoR je izjavil:

Kar pomeni, da se da zraven generator, ki trosi random noise in tko prikrije ta zvok.

Moral bi generirati naključne motnje v točno tem zvočnem spektru. Crypto blinding je boljša rešitev.

3p, power analysis je bolj uporabna v labolatorijskih primerih. Je pa idealna za lomljenje DRM-ja. 8-)


Nauk tega je, da preiskovalcem še vedno ne bodo dostopni naši podatki, nam pa bodo avtorsko zaščitene vsebine. Kot doslej. 8-)

Zgodovina sprememb…

  • spremenil: trizob ()

čuhalev ::

Relanium je izjavil:

Čist mogoče, če se marsikdaj sliši že samo scrollanje po straneh.

To skrolanje slišim tudi jaz, pa tudi, ko se kaj več podatkov pretaka po mreži.

Sicer pa se sliši zvok, ki ostane v ojačevalcu, če ta ni prikloplen na zvočnike in zelo dober je primer, ko se v zvočnikih sliši oreng ropot pred prejetjem telefonskega klica.

hook ::

Mimogrede, GnuPG ravno sedaj zbira crowdfunding donacije (tax deductible v EU) za nov server in page:

http://goteo.org/project/gnupg-new-webs...

filip007 ::

Pa še preko vgrajenega mikrofona, mislim halo.
Palačinka z Ajvarjem in stopljenim sirom v mikrovalovki.

js osebno ::

Debian je ta problem že patchal: Link.

Ahim ::

Spura je izjavil:

Problem tega napada je to, da mora racunalnik kriptirat posebej pripravljen set podatkov.


In da mora procesor delovati na tocno dolocen nacin (torej mora iti za poznan procesor, ker prakticno nikoli dva razlicna modela procesorjev, cetudi iz iste druzine, ne bosta imela do pike iste porabe).

In da mora ta procesor uporabljati vnaprej poznano stevilo jeder/niti, saj bi izvajanje v vec/manj nitih spremenilo porabo in cas izvajanja. Se pravi tudi ce gre za procesor, za katerega bi bil vzorec delovanja znan, se mora obnasati na poznan nacin.

In da mora napajanje procesorja (torej VRM na motherboardu + napajalnik racunalnika) delovati na tocno dolocen nacin, saj gre za "poslusanje" napajalnega dela (konkretno predvsem dusilk, pa tudi kondenzatorjev). Zamenjas motherboard in/ali napajalnik ob istem procesorju, pa ne bo enakega vzorca hrupa in zadeva ne bo vec delovala.

In da morajo biti komponente, ki povzrocajo ta zvok (= dusilke in kondenzatorji) narejeni poznano nekvalitetno, saj sicer ne bodo povzrocali zvoka na enak nacin, z isto amplitudo itd.

In da komponente, ki povzrocajo ta zvok, tudi ce so njihove karakteristike poznane, ne smejo drasticno odstopati od zacetnih specifikacij (kar se prej ali slej vedno zgodi s kondenzatorji ...), saj se bo sicer VRM nekaj casa prilagajal spremenjenim karakteristikam, kar bo spremenilo vzorec zvoka, preden dokoncno crkne.

In da zraven ne sme biti drugih (motecih) virov podobnih zvokov, denimo napajalnega dela graficne, ki je funkcionalno prakticno isti (deluje na enak nacin, ima iste vrste komponent, ki povzrocajo enak zvok), hkrati pa pokuri vsaj toliko (in zato predvidoma ropota tudi vsaj toliko kar se amplitude tice, torej lahko prekrije zvok, katerega zelijo poslusati).

In da tudi ce gre za poznano kombinacijo napajalnih elementov, katere karakteristike so vnaprej znane, ne sme na delovanje vplivati nic, kar bi jih spremenilo (= drugacna konfiguracija preostalega HW, kot denimo vec diskov ali vec graficnih ali under/overvolting kaksne stvari, vec/manj RAMa itd. bo spet spremenilo vzorec porabe in s tem zvoka).

In da mora program izvajati vnaprej znan codepath (ce je npr. optimiziran za uporabo AES-NI ukazov, potem ima vsaj se codepath za ne-AES-NI procesorje, ker je takih se vedno precej v uporabi, npr. Intelovi Core2 itd.), saj bo drugacen codepath od pricakovanega imel drugacno porabo v casu in bo torej zvok drugacen od pricakovanega.

In da mora operacijski sistem deliti casovne rezine po vnaprejznanem vzorcu (ce je prioriteta procesov drugacna od prizakovane, torej je tako da program dobi drugacno stevilo oz. drugace razporejene time slice od pricakovanih, npr. zaradi tega ker tece na drugem OSu ali zaradi tega ker se OS drugace obnasa od pricakovanj, potem bo vzorec zvoka spet drugacen).

In da mora operacijski sistem (v kombinaciji z nastavitvijo v BIOSu) uporabljati sistemske kapacitete za varcevanje z energijo (kot so HLT, EIST/C&Q itd.) po vnaprej znanem vzorcu ... celo uro, sicer se bo spet spremenil vzorec zvoka.

In da se ob izvajanju programa ne sme dogajati nic drugega (npr. teci kaksen potraten proces v ozadju), kar bistveno vpliva na porabo, saj bo spet pokvarilo vzorec zvoka.

In da se mora tale zvok dogajati na cisto normalno slisnem podrocju, saj imajo mikrofoni v mobilnih telefonih precej zalostno karakteristiko (v primerjavi s frekvenco delovanja buck konverterjev v napajalniku, ki vpliva na zvok, kateri jih zanima).


... pa najbrz bi se se kaj naslo. V bistvu je ravno tvoj pomislek precej preprosto zaobiti: uporabniku, za katerega ves, da uporablja GnuPG, in katerega RSA kljuc zelis pridobiti, posljes tisti predpripravljeni vzorec - tako ali tako ne bo vedel za kaj gre, dokler ne bo vzorec dekriptiran, takrat pa je zanj ze prepozno, saj se je dekriptiranje (trajajoce eno uro ... in medtem ubogi naivnez ni niti pomislil na to, da se dogaja nekaj cudnega ?!) ze zakljucilo in imas svoj posnetek za analizo.


Se vprasanje za avtorja teme: kje ze lahko downloadam testni primerek te aplikacije za moj mobilnik in vnaprej pripravljeno datoteko za dekriptiranje, s katerima bom lahko preveril trditve avtorjev ? Aha, nikjer ...

poweroff ::

Preveč kompliciraš. Na začetku se pač naredi en tuning.

BTW, Iste argumente smo leta 2008 poslušali od Deutsche Telekoma glefe 'varnosti' GSM. Danes se pa noben več ne sprašuje neumnosti.
sudo poweroff

Ahim ::

poweroff je izjavil:

Preveč kompliciraš. Na začetku se pač naredi en tuning.

BTW, Iste argumente smo leta 2008 poslušali od Deutsche Telekoma glefe 'varnosti' GSM. Danes se pa noben več ne sprašuje neumnosti.


Ja, drzi ... danes neumnosti samo se pisarite.

Jaz sem navedel svoje pomisleke glede trditev v clanku in za svojimi pomisleki stojim, zato ti ponujam 100 evrov (plus potne stroske - placam taksi iz Ljubljane, do koder bos menda ze prisel), da mi dokazes nasprotno (ob mnozici preprek iz spiska, ki sem ga navedel zgoraj, saj bom telefon, racunalnik itd. priskrbel jaz). Vkolikor ti ne uspe, placas ti enak znesek meni (100 evrov zame ter sam krijes taksi zase). Casa imas recimo en teden, opraviti moras znotraj ure in pol (torej iams na voljo 50% vec casa, kot naj bi bilo potrebno sodec po clanku).

V kolikor ne sprejmes, nam v bodoce prosim prihrani tudi svoje umovanje. Hvala!!!

poweroff ::

Odgovor na to je lahko samo: LOL.
sudo poweroff

Ahim ::

poweroff je izjavil:

Odgovor na to je lahko samo: LOL.


Imas prav: LOL. Nakladaci, kot si ti, si res ne zasluzite cesa drugega.

Hayabusa ::

Major computer security firm RSA took $10 mln from NSA to weaken encryption - report
http://rt.com/usa/rsa-nsa-deal-weaken-e...
http://www.reuters.com/article/2013/12/...

The Many Flaws of Dual_EC_DRBG
http://blog.cryptographyengineering.com...

Zgodovina sprememb…

  • spremenilo: Hayabusa ()

LightBit ::

Ne mešati RSA algortma in RSA firme.

poweroff ::

Ahim je izjavil:

poweroff je izjavil:

Odgovor na to je lahko samo: LOL.


Imas prav: LOL. Nakladaci, kot si ti, si res ne zasluzite cesa drugega.

No, pa poglejmo. Novica govori o članku, ki so ga napisali uveljavljeni raziskovalci iz področja kriptografije. Če trdiš, da Shamir et. al. lažejo ali zavajajo, sta samo dve možnosti - ali si ti primerljiva oz. večja referenca kot oni, ali pa si navaden nakladač.

Sam stavim na drugo možnost, bom pa z veaeljem podrobno prebral vse tvoje dosežke kz tega področja, če jih boš seveda blagovoljil predstavit.

Glede tvojih pomislekov pa - osnovni zvok (ko se ne kriptira) vzameš kot osnovni šum, potem pa gledaš samo diference. V takem primeru lahko različne sisteme spraviš na 'isti imenovalec'.
sudo poweroff

Mavrik ::

poweroff je izjavil:

dročja kriptografije. Če trdiš, da Shamir et. al. lažejo ali zavajajo, sta samo dve možnosti - ali si ti primerljiva oz. večja referenca kot oni, ali pa si navaden nakladač.

Sam stavim na drugo možnost, bom pa z veaeljem podrobno prebral vse tvoje dosežke kz tega področja, če jih boš seveda blagovoljil predstavit.


Matej... Matej... a resno veš samo osebno napadati druge ljudi? Kljub temu da podobne pomisleke in težave izpostavljata tudi avtorja članka v enem izmed zaključnih delov?

Poleg tega večkrat zelo jasno poudarjata, da so bili vsi poskusi narejeni v "laboratory-like" environmentu in da bi okoliški šum lahko bistveno pokvaril rezultate. Prav tako mora biti cel postopek točno kalibriran na določeno mašino (v članku je omenjena tudi sprememba pogojev ko se vezja segrevajo/stabilizirajo in starost le-teh kot faktor pri napadu, glej tudi stran 20/21, kjer kažejo kako zgledajo zapisi na različnih mašinah) in mora delati v večih iteracijah (če si članek prebral veš, da je bil ključ izločen bit po bit, kar pomeni vsaj 2048 iteracij za tak napad).

Side-channel napadi so sicer resna nevarnost, samo nerazumevanje delovanja in osebno napadanje vseh, ki imajo pomisleke, pač ne pomaga pri varnosti a ne?
The truth is rarely pure and never simple.

Zgodovina sprememb…

  • spremenil: Mavrik ()

poweroff ::

Res je. Me pa pogreje vehementno nakladanje, češ, da je novica lažniva oz. nakladaška, oziroma, da gre za moje umovanje (pri čemer osnovne raziskave nisem delal jaz, le poročam o njej).

Kot sem rekel - članek so napisali resni ljudje, z referencami. Kritike so dobrodošle, ampak pričakujem, da bodo utemeljene, ne pa pavšalne. Če se na lastno avtoriteto sklicuje kak Schneier, je to še razumljivo. Če se pa nek anonimen forumski pisec, je pa to smešno.

Predlagam pa, da se na demonstracijo povabi Shamirja in ostale. Stroške seveda krije Ahim, nagradi se bodo pa avtorji gotovo z veseljem odpovedali.
sudo poweroff

MrStein ::

Saj tip je le ponovil točke iz članka.

Ad hominemi te ne postavljajo v boljšo luč, mimogrede.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

AtaStrudl ::

Nekako tako, kot bi jaz rekel, da potovanje z 90% svetlobne hitrosti ni prakticno, potem bi mi pa nekdo mahal z Einsteinovo avtoriteto, ki potovanja z 0.9c seveda ne prepoveduje.

Shamir je v akademskem clanku pokazal, da neka dolocena metoda LAHKO deluje, ce so izpolnjeni pogoji A,B,C,D,E,F,...

Ahim pa je povedal, da je v realnem svetu zelo majhna verjetnost, da bi bili pogoji A,B,C,D,E,F,... izpolnjeni. - v bistvu ni v nicemer oporekal Shamirju.

Pa se to:

Shamir je matematik in avtoriteta za kriptografijo, Ahimovi pomisleki pa so v glavnem s podrocja akustike/elektrotehnike. Na teh podrocjih pa Shamir sploh ni nujno vecja avtoriteta kot Ahim!

DISCLAIMER: pojma nimam kdo je Ahim, in kaj je po poklicu. Rad bi samo opozoril, da ni lepo s tujo avtoriteto po koprivah....

poweroff ::

MrStein je izjavil:

Ad hominemi te ne postavljajo v boljšo luč, mimogrede.
Nisem tukaj zato, da bi komu ugajal, ali da bi bil komu vščečen. Zato je popolnoma nerelevantno v kakšni luči me kdo vidi. Če pa že govorimo o ad hominem, me pa zanima, če si opazil tole:

V kolikor ne sprejmes, nam v bodoce prosim prihrani tudi svoje umovanje. Hvala!!!
sudo poweroff

poweroff ::

Pa še tole... pred nekaj leti sem bil na demonstraciji TEMPEST naprave. Zadeva je sicer izgledala precej impresivno (nek bivši MI-6 officer je kazal kako je mogoče "gledati" vsebino monitorja čez 2 steni), ampak najbolj zanimivo pa je bilo, ko je človek razložil, da je mogoče zaporedno postaviti več enakih monitorjev (ista serija), pa je s TEMPEST napravo mogoče "naciljati" vsakega posebej.

Tako da, se strinjam, da so pomisleki na prvo žogo na mestu. Ampak če se bo tale tehnika dovolj razvijala (ali pa se je morda že), si nebi upal stavit, da tudi v nekem okolju z motnjami ne bi bilo mogoče zaznati samo tiste motnje, ki napadalca zanimajo.

Konec koncev govorimo o 4096-bitnih ključih, za lomljenje katerih so sicer potrebna... tisočletja?

Je pa seveda jasno - če želimo zaščititi svoj prazen bančni račun na NLB, so skrbi povezane z akustično kriptoanalizo odveč. Če pa je kdo v ekipi, ki razvija Merkelphone, je pa zgodba seveda drugačna. Enako velja tudi za tiste, ki jih stvar zanima iz čiste radovednosti.
sudo poweroff


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Akustični napad na RSA šifrirne ključe

Oddelek: Novice / Varnost
4214889 (10650) poweroff
»

Odkrita resna varnostna pomankljivost v Debianovem naključnem generatorju števil za O

Oddelek: Novice / Varnost
487509 (4099) poweroff
»

gpg

Oddelek: Programska oprema
121793 (1628) poweroff
»

Akustična kriptoanaliza

Oddelek: Novice / Zasebnost
153027 (3027) poweroff
»

Hekerji (strani: 1 2 3 )

Oddelek: Programiranje
13312614 (4059) darkolord

Več podobnih tem