The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Метод определения RSA-ключей через анализ изменения разности потенциалов

09.08.2014 19:01

Исследователи компьютерной безопасности, продемонстрировавшие в прошлом году технику воссоздания RSA-ключа через анализ изменения звукового фона, исходящего от компьютера в процессе расшифровки данных, продолжили эксперименты в данной области и продемонстрировали возможность определения RSA и ElGamal ключей на основе измерения электрического потенциала.

Новый метод основан на том, что при выполнении различных операций энергопотребление CPU меняется, данные колебания гасятся схемами регулирования напряжения, которые пытаются поддерживать постоянное напряжение, но колебания разности потенциалов отражаются во всех цепях подачи напряжения. Измерить колебания разности потенциалов можно через организацию физического контакта с нулевой фазой (землей), например, подключив датчик к корпусу ноутбука (снять параметры можно просто прикоснувшись рукой к металлическим частям корпуса) или к жиле с "землёй" в кабелях VGA, USB, DisplayPort, HDMI или Ethernet. В качестве платформы для проведения атаки может выступать обычный смартфон.

Для восстановления закрытого ключа кроме адаптивного метода, используемого в атаке через анализ изменения звукового фона, может применяться неадаптивный метод, который позволяет сократить время атаки с часов до нескольких секунд. Адаптивный метод основан на инициировании автоматической расшифровки произвольных сообщений на целевой системе, например, должен быть запущен почтовый клиент, автоматически расшифровывающий сообщения. Атакующий периодически отправляет на данную систему немного изменённые сообщения, зашифрованные публично доступным ключом, и контролирует изменение разности потенциалов "земли" целевой системы, бит за битом восстанавливая значение ключа.

Неадаптивный метод позволяет восстановить ключ через анализ всего нескольких операций расшифровки одного и того же зашифрованного текста. При данном методе атакующий формирует специально подобранный зашифрованный текст и организует несколько раз его расшифровку в момент измерения разности потенциалов.

Исследователи продемонстрировали успешное применение метода для подбора 4096-разрядных ключей RSA и 3072-разрядных ключей ElGamal, используя различные способы фиксации колебаний разности потенциалов, в том числе при помощи анализа цепи входящего питания и электромагнитного излучения. Несмотря на тактовую частоту в гигагерцовом диапазоне и наличие посторонних шумов на полное восстановление ключа требуется от нескольких секунд при выборке с частотой порядка 2 MHz до одного часа при выборке с частотой порядка 40 kHz.

Атака применима для приложений, использующих libgcrypt 1.5.x, и старых выпусков GnuPG. GnuPG 2.x и выпуски начиная с 1.4.16 проблеме не подвержены, но проблема может проявиться для ключей Elgamal в случае связывания с проблемными версиями Libgcrypt (для проверки можно запустить команду "gpg2 --version"). В частности, GnuPG 2.x уязвим, если он связан с версией Libgcrypt младше 1.6.0 (начиная с GnuPG 1.4.16 использование Libgcrypt прекращено). Ветка Libgcrypt 1.6 проблеме не подвержена, для ветки 1.5 выпущено обновление 1.5.4, в котором уязвимость устранена.

  1. Главная ссылка к новости (http://lists.gnupg.org/piperma...)
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Короткая ссылка: https://opennet.ru/40359-rsa
Ключевые слова: rsa, gnupg
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (42) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Xasd (ok), 20:32, 09/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а ECDSA -- тоже можно?
     
     
  • 2.3, Аноним (-), 20:39, 09/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Почти любой алгоритм можно. Если получается так что потребление разное. Анализ потребления - тот еще баян.
     
     
  • 3.44, Xasd (ok), 04:22, 14/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    у реализаций алгоритмов ECDSA -- разное потребление или одинаковое?
     

  • 1.2, alltiptop (ok), 20:36, 09/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Да это же ЭЭГ.
     
     
  • 2.4, alltiptop (ok), 20:51, 09/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Вопрос - зачем смартфон? Лишний элемент, кабель и без этого подключается к маршрутизатору.
     
     
  • 3.10, AlexAT (ok), 23:19, 09/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по тому, как включен - выступал в роли вольтметра :)
     
     
  • 4.36, dry (ok), 10:44, 11/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Судя по всему в школе не показывают портативных осциллографов.
     

  • 1.5, Аноним (-), 21:20, 09/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Жесть
     
  • 1.6, хрюкотающий зелюк (?), 22:08, 09/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Жить страшно, ребята! Скоро я перестану доверять унитазу.
     
     
  • 2.7, Аноним (-), 22:16, 09/08/2014 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Очередную уязвимость закрыли. Не привык еще?
    Вот пойдут новости о том, что мысли человека читаются по реакции зрачков и эл потенциалам на кончиках пальцев - вот будет стремно.
     
     
  • 3.8, Аноним (-), 22:54, 09/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Полиграф? Задаёт нужные вопросы, регистрируем изменения и делаем выводы
     
     
  • 4.18, Владимир (??), 04:44, 10/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Его все же (пока что) нужно напрямую к человеку подключать. Вот как научаться на расстоянии активность коры головного мозга измерять...
     
  • 4.34, Аноним (-), 09:42, 11/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Угу полиграф.
    - вас зовут Иванов ИИ?
    -- да.
    - Первый символ в вашем пароле буква А?
    -- Эээ нет
    - Б?
    -- а скакой целью интересуетесь?
    - значит В?
    -- холодно
     
  • 4.43, Глас Божий (?), 22:55, 12/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Полиграф? Задаёт нужные вопросы, регистрируем изменения и делаем выводы

    Полиграф, если коротко, полная херня, сильно зависящая от такого количества факторов, что юридически не является вообще сколько-нибудь годным. Реальных методик обмана полиграфа существует больше одной, при чём ни одна не требует быть суперагентом 007 и доступны простым смертным после минимальной тренировки.

     
  • 3.20, robux (ok), 07:35, 10/08/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Скорей бы. Тогда уж можно было бы наконец понять, чего же люди хотят. Особенно, бабы.
     
     
  • 4.23, hoopoe (ok), 12:34, 10/08/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Особенно, бабы.

    ну-ну... получишь DDOS атаку и всего делов :)

     
  • 4.25, Аноним (-), 13:24, 10/08/2014 [^] [^^] [^^^] [ответить]  
  • +9 +/
    > Скорей бы. Тогда уж можно было бы наконец понять, чего же люди
    > хотят. Особенно, бабы.

    Для этого ни гением быть не обязательно, ни техно использовать. Всего лишь немного знаний из области, в которой ты не спец.

     
  • 4.28, Аноним (-), 20:47, 10/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Что же вы и пальцы за меня загибать будете?
     
  • 3.27, fyjbv (?), 16:17, 10/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а ее закрыли?..
     
     
  • 4.35, Аноним (-), 09:43, 11/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > а ее закрыли?..

    В новости написно, что да. Ввели левые вычисления, видимо. На вроде "соли"

     
  • 2.9, Аноним (-), 23:12, 09/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >Скоро я перестану доверять унитазу.

    А чему ты будешь ЭТО доверять тогда? ;)

     
  • 2.11, Аноним (-), 23:23, 09/08/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не ссы ( в него ) - он не подведёт.
     

  • 1.12, Сергей (??), 23:30, 09/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Я не понял 2-ой снимок, там датчик цепляется на UTP-ную розетку/вилку, ну и что тут нового. Да и вообще-то, в чем новость то, в том, что посылаем тестовую последовательность и смотрим на реакцию системы?
     
     
  • 2.13, Аноним (-), 00:09, 10/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Новость в том, что таким способом определяется содержимое закрытого RSA-ключа.
     
  • 2.14, kbOVI (?), 01:04, 10/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Там вольтметр цепляется на оплётку stp, которая суть есть земля атакуемого компютера.
     

  • 1.16, сурпрайз (?), 01:15, 10/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Ethernet

    ох лол... они в курсе что в езернете гальваническая развязка?
    или 10base2 из музея достали?

     
     
  • 2.21, AlexAT (ok), 09:52, 10/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > ох лол... они в курсе что в езернете гальваническая развязка?
    > или 10base2 из музея достали?

    В этом и фича. Они мониторили воздействие на всю цепь. И развязка никакой роли не играет - устройства связаны силовой цепью. Могли не к экрану коммутатора, например, а вообще к 110/220V розетке подцепиться, просто это потребовало бы железа чуть посложнее.

     
     
  • 3.40, anoim (?), 14:45, 12/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Могли не к экрану коммутатора, например, а вообще к 110/220V розетке подцепиться, просто это потребовало бы железа чуть посложнее.

    Вам стоит поменьше увлекаться фантастикой ))

     
     
  • 4.41, AlexAT (ok), 21:14, 12/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вам стоит поменьше увлекаться фантастикой ))

    На ваших глазах фантастика слегка становится реальностью, причём не так уж всё и сложно. К сожалению, наша страна технологически отстала на фантастическое число лет.

     
  • 2.46, Аноним (-), 17:57, 20/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > ох лол... они в курсе что в езернете гальваническая развязка?

    Между обмотками любого трансформатора (в том числе гальванической развязки ethernet) есть емкостная связь, которая очень хорошо передает ВЧ колебания.

     

  • 1.17, rob pike (?), 04:41, 10/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ждём тёплых ламповых CPU, работающих в чистом классе А.
     
     
  • 2.26, Аноним (-), 13:25, 10/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ждём тёплых ламповых CPU, работающих в чистом классе А.

    В курсях, какой у них КПД? Питать придется от МГД-генератора, ёпт.

     
     
  • 3.39, rob pike (?), 21:27, 11/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А вы думали privacy это бесплатно?
     

  • 1.19, Аноним (-), 07:12, 10/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    >Новый метод основан на том, что при выполнении различных операций энергопотребление CPU меняется

    То есть, если я во время шифрования буду конпелять генту, то ключ не получится увести этим способом?

     
     
  • 2.22, Андрей (??), 11:06, 10/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    +100500
     
  • 2.24, cmp (ok), 12:59, 10/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Даншь непрерывный цикл копмиляции на специально отведенных ядрах))
     
     
  • 3.37, savedondasspeople (?), 10:46, 11/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    лучше не компиляции, а шифрования
     

  • 1.29, Аноним (-), 00:13, 11/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    АНБ пора самораспуститься. :)
     
  • 1.30, Аноним (-), 04:22, 11/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А на многоядерных системах тоже работает? Как они выделяют на каком
    ядре идёт рсшифровка?
     
  • 1.32, Аноним (-), 08:58, 11/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Я не понял о чем это но плюсую
     
  • 1.38, Рыы (?), 17:58, 11/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Ждем новости как хакиры подключились к заземлению банка и всё украли.
     
  • 1.47, Аноним (-), 17:15, 18/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У меня унитаз с wi-fi нажимаешь кнопку на мобиле ион сливает
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру