因此,在构建使用密码术(无论是公共密钥还是对称密钥)的系统时,此类攻击的实用性如何? ?而且,可以遵循哪些准则来确定您的系统是否需要保护(电源分析保护,发射,定时等)?
#1 楼
是的,如果过去可以预示未来,则边信道攻击是切实可行的问题,并且是一个真正的问题。旁道攻击;示例(我亲自做过1和3):重置时未清除RAM缓冲区,可读(使用标准命令Get Response),先前PIN比较的泄漏状态,即使已经增加了PIN展示计数器禁止(通过硬件复位或/和删除EPROM编程电压);允许以预期的5000次尝试恢复4位数字的引脚。
时序依赖性,如果PIN正确与否,具有永久性存储器写操作的PIN表示持续时间可以抑制泄漏。
时序依赖关系,其中值之间的比较持续时间会泄漏第一个不正确字节的索引,从而允许查找具有预期$ n \ cdot2 ^ 7 $次尝试的$ n $个字节值,而不是$ 2 ^ {8 \ cdot n-1} $ 。
返回到制造商测试模式(通过软件利用,硬件修改或破坏),从而允许提取永久存储器内容(包括机密信息)(变体:可以强制正常软件读取错误的位置)。
通过微探测来监视公交专用道,泄漏各种机密信息。
简单功耗分析直接泄漏RSA中的指数位。与定时测量相结合会泄漏敏感信息(例如好坏) PIN,在此之前进行记录。)
差分功率分析,允许进行密钥恢复。
故障注入(通常被视为旁道攻击)。 >我已经看到这给易受攻击的智能卡的供应商带来了极大的尴尬,并相信有许多报道说,在(遥远的)过去,此类漏洞偶尔被大规模利用,特别是在带有智能卡的付费电视领域
更普遍的是,当使用密码学的设备被破坏时,通常比用密码学攻击更好地描述为旁路攻击。和这份2012年的论文,展示了智能手机和PDA上的远程SPA和DPA攻击。 SPA / DPA攻击可能在一定程度上是远程的,并且包含机密性或完整性至关重要的任何信息(例如秘密/私有密钥,身份验证器,计数器..),因此需要密切注意边信道攻击。
评论
$ \ begingroup $
嗯。您链接了两篇文章,它们主张采取更广泛的措施来防御旁道攻击。但是,两者都是由一家通过专利许可销售此类措施的公司(现已收购)创作的。这样的公司绝对是(或曾经)是一个严肃和受人尊敬的公司,但对我而言,这看起来并不完全是客观的观点。
$ \ endgroup $
–SquareRootOfTwentyThree
2012-09-25 19:49
$ \ begingroup $
@SquareRootOfTwentyThree:的确,我引用的文章的作者正在宣讲他们的解决方案。他们的论点在技术上仍然有效且令人信服。我没有这种利益冲突,可以通过观察我的行业来告诉您,对DPA的认证实验室测试失败和失去商业机会的威胁是真实的。我不会告诉您DPA是造成真正对手伤害最大的技术之一。我相信其他形式的渠道泄漏是仅次于纯属疏忽大意的。
$ \ endgroup $
–fgrieu♦
2012年9月26日7:05
#2 楼
因此,在构建使用密码术(无论是公共密钥还是对称密钥)的系统时,此类攻击的实用性如何?担心它开始变得对其他类别的攻击者有吸引力,并且只要任何成功的攻击都带来了使成本不平衡的奖励。对于旁道攻击也是如此。如果您的系统可以通过其他更简单的方式(例如,社会工程,软件错误,测试模式,您自己命名)更容易受到破坏,那么花金钱或时间来增加对旁通道攻击的保护可能就没有多大意义。如果攻击需要1年的时间才能发动,并且您所获得的仅仅是在某人的Facebook墙上发帖的能力,这也是一回事。
而且,可以遵循哪些准则来确定您的系统是否需要保护(它们是功率分析保护,排放,时间等)?攻击者)。例如,如果您信任物理环境及其周围环境,并且您的系统已连接到外部网络,则可以忽略电磁辐射,但可以忽略定时,填充Oracle攻击,缓存攻击等。
之后您可以在可能的情况下采取一些对策。
评论
$ \ begingroup $
“任何类别的攻击在开始变得对其他类别的攻击者都具有吸引力时,就已经成为现实问题”:从理论上或在理性的世界中,这都是很好的;但是在我们这个世界上,对于攻击者而言,从经济上讲不是不合理的攻击仍然经常对易受攻击的系统的卖方造成很大的伤害。
$ \ endgroup $
–fgrieu♦
2012年9月12日下午13:18
$ \ begingroup $
@fgrieu我没有使用“经济上”一词,而只使用了“奖励”一词。学术攻击,剧本小子,恐怖分子等并没有赚钱,但在进行风险分析时仍可以对它们进行建模。实施对策的成本很高,因此我认为不应“以防万一”地实施对策。
$ \ endgroup $
–SquareRootOfTwentyThree
2012年9月12日15:21
$ \ begingroup $
我想强调一下,风险分析或任何决策工具都应考虑到攻击造成的不良宣传风险以及由于缺乏针对某些假设的明确技术保障而导致的销售损失风险攻击。这提供了很好的理由,即使在没有正当理由使可识别对手受益的情况下,也包括针对旁道攻击的对策。
$ \ endgroup $
–fgrieu♦
2012年9月12日16:55
$ \ begingroup $
我同意应该对风险进行评估(威胁代理可能是市场竞争者),但这并不意味着您会自动找到应对旁道攻击的良好动机。除非产品广泛分布并且有一个真正的品牌来捍卫,否则很难通过侧渠道攻击(由于在大多数情况下它们都需要一定的统计知识)而在违反方面获得不好的宣传。
$ \ endgroup $
–SquareRootOfTwentyThree
2012年9月12日19:37
#3 楼
我不确定您所说的“实际”关注是什么意思。有些公司提供PIN垫的DPA测试服务,所以我想是的,防御DPA是一个务实的决定。研究人员展示了OpenSSL定时攻击,该攻击非常有效地攻击了位于同一物理Amazon云服务器中的其他服务器。我知道最成功的加密攻击是“侧通道”攻击。协议通常是薄弱环节,比经过充分测试的算法要重要得多。 (但是,对于哈希摘要算法而言,情况并非如此,因为最近发现了大多数缺陷。)特别是,我看到了很多问题,因为设计人员在同一实现中增加了对向前和/或向后兼容性的支持。或者他们可能具有定义AES-256,IDEA,CAST或3DES之间协议选择的代码,但是如果将协议设置为无效,加密将降级为DES,ROT-13或完全不进行加密。
我建议您一旦提出协议,请让有动机(收费)的外部机构对其进行审查,以确保正确无误。您需要熟练使用当前攻击方案的密码学家。当您将训练有素的眼球投向协议时,请向他们解释您意识到的缺陷以及如何缓解它们,然后让他们解决问题。收到他们的反馈后,请保持开放的心态。您可以做出的最糟糕的决定是说“我知道我在做什么”。
评论
这是一个有趣的问题,但我不确定它的答案是否正确。听起来像是一个讨论话题的好话题。@ FrancisW.Usher,那绝对是我考虑过的事情。我认为如果有人对这个行业足够了解,可以回答。如果大多数供应商都担心这种东西并在其产品中加入保护措施,那么就有充分的理由相信这种攻击是可能的(因为保护措施只会增加成本,等等)。我们会看到的,对。