JVM语言中的定时安全

// compare two byte arrays so that timing does not leak where a difference lies
public static boolean myEqualByteArrays[(byte[] a, byte[] b) {
    int j = a.length;
    if (j != b.length)
        return false; // arrays are not the same length
    int r = 0; // will stay zero until a difference is found
    while (--j>=0)
        r |= a[j] ^ b[j];
    return r==0; // true if and only if the arrays match
}

// compute the OR of all bits in  a  into the low-order bit of  d
d = (a >>> 1) | a;
d = (d >>> 2) | d;
d = (d >>> 4) | d;
d = (d >>> 8) | d;
d = (d >>>16) | d;
d = -(d&1); // duplicate the low-order bit of  d  over the whole  d
d = ((b^c)&d)^b; // select  b  iff a==0,  c  otherwise

评论

---

$ \ begingroup $
另一个问题：检查a.length == b.length是否不好？您可以给攻击者很大的帮助，因为攻击者可以快速确定字符串的长度。它不是j = min（a.length，b.length）吗？另一个侧面的问题（对不起）：任何加密哈希都可以用来拒绝错误的输入（如果（hash（a）！= hash（b））返回false；），据我所知，它将为定时攻击以及何时提供帮助哈希匹配，那么即使是某种天真的比较也可以完成工作。所有这些都表示我同意...使用已经完成并证明是安全的现有功能。
$ \ endgroup $
–阿德里亚诺·雷佩蒂（Adriano Repetti）
17年7月6日在8:33

---

$ \ begingroup $
@AdrianoRepetti即使您避免显式检查a.length == b.length，您仍然必须确保所有数组访问都在范围之内。这可能意味着运行for（i = 0; i $ \ endgroup $
– Nayuki
17年7月6日在8:39

---

$ \ begingroup $
@Adriano Repetti：密钥/挑战长度通常被认为是密码系统定义的一部分，因此不是秘密的（至少在一定程度上与密钥/挑战的价值相同）；并且，如另一条评论中所述，很难以时序安全的方式泄漏期望的长度，我想要一个简单的示例。再考虑一下，如果（hash（a）！= hash（b））返回false；如果与memcmp进行比较并且密钥具有足够低的熵（例如7字节的随机值，如果真正的定时安全测试需要毫秒，这将很安全）会受到定时的攻击。
$ \ endgroup $
–fgrieu♦
17年7月6日在8:59

---

$ \ begingroup $
@AdrianoRepetti：攻击进行了：尝试增加a的值。最初，将它们提交给真正的设备进行验证，直到发现a1的故障速度比其他设备慢。然后计算h1 = hash（a1），然后从该值开始跳过a哈希值不与h1相同的第一个字节开头的值。找到较慢失败的新值a2后，跳过其哈希值与h2 = hash（a2）相同的前两个字节不开头的a值，依此类推。攻击必须测试和散列大约$ 2 ^ {55} $的值，但仅需要大约900个在线测试。
$ \ endgroup $
–fgrieu♦
17年7月6日在9:09

---

$ \ begingroup $
谢谢！没错，那么memcmp会成为薄弱点（4字节的朴素哈希是否有太多的冲突无法使用？CMP应该不会遇到这个问题）。关于数组长度：好吧，您始终可以使用a [min（i，a.length-1）]访问数组，并重复与最后一个字符的比较，但是需要检查长度。很好的解释！
$ \ endgroup $
–阿德里亚诺·雷佩蒂（Adriano Repetti）
17年7月6日在9:21

---

评论

---

$ \ begingroup $
“不使用执行时间取决于机密数据的操作码”部分比较棘手，并且可能与平台有关。谁知道32位JVM上long（64位）的增量是否具有与数据相关的时序？通过扩展，谁知道JavaCard上的short（16位，也是保证的最大宽度）增量？那么在32位ARM上的乘法呢？等等..
$ \ endgroup $
–fgrieu♦
17年7月5日在19:52

---

$ \ begingroup $
@fgrieu：我已经写了一些有关乘法的文档。无论如何，这里的要点是，尽管“恒定时间代码”的概念特定于所使用的硬件，但是Java并没有实质性地改变。您可以像使用C在相同硬件上一样轻松（或不安）地用Java编写恒定时间代码。另外，如果它运行BouncyCastle，那么我怀疑它是JavaCard ...
$ \ endgroup $
–托马斯·波宁（Thomas Pornin）
17年7月5日在20:01

---

$ \ begingroup $
我同意您的推理以及消除条件跳转，消除数据相关地址以及使用uint32 0/1作为标志的方法。几年前，我在Stack Overflow上问了类似的问题，最终基于恒定时间原理实现了比特币ECDSA库。
$ \ endgroup $
– Nayuki
17年7月6日在8:49

---

$ \ begingroup $
“在这里重要的是不要使用布尔值来劝阻编译器”-我为您提供了消息，21世纪的编译器将不在乎。虽然C编译器现在具有_Booltype，但是有很多遗留代码使用整数作为布尔值，优化器会寻找该模式。为了安全起见，请使用volatile int crypto_true = 1和#define CRYPTO_TRUE crypto_true && 1（后者可防止意外修改）。易失性块优化。
$ \ endgroup $
–MSalters
17年7月7日在10:24

---

$ \ begingroup $
@Will“ volatile”与与计时相关的泄漏问题无关。泄漏与值何时到达高速缓存（而不是保存在寄存器中）有关，而是该时刻（和目标地址）是否取决于值的内容。在此处添加一些“ volatile”，然后仅会将不安全的代码转换为较慢的不安全的代码。一种看待它的方法是，易失性会影响静态数据路由，而恒定时间就是动态数据路由的泄漏。
$ \ endgroup $
–托马斯·波宁（Thomas Pornin）
17年7月31日在12:05

---

评论

---

$ \ begingroup $
如何在Java上执行确定性的持续时间计时器任务？否则，您将无法进入实时操作系统的一半，而且我不认为在DELL上运行任何基于通用服务器的RTOS。
$ \ endgroup $
–Paul Uszak
17年7月6日在15:31

---

$ \ begingroup $
定时器可能只会在语义之前而不保证。但是任何延迟都将归因于其他不依赖于秘密的负载，因为任何依赖秘密的计算都已经完成了很高的可能性。
$ \ endgroup $
–梅尔·莫尔（Meir Maor）
17年7月6日在15:42

---

$ \ begingroup $
@PaulUszak如果您感到惊讶，您可能想检查一下恰好在Dell PowerEdge服务器上运行的“戴尔实时操作系统软件”和RTOS，例如iHawk平台解决方案。 ;）
$ \ endgroup $
– e-sushi
17年7月22日在6:41

---

评论

---

$ \ begingroup $
执行时间算法非常随机。可以通过使高速缓存未命中，增加系统负载等来进一步增加这种情况。这是一种可怕的方法，尤其是从长远来看，“触发键更改”有时有时并不像调用一个函数那样简单。
$ \ endgroup $
–axapaxa
17年7月5日在19:11

---

$ \ begingroup $
@axapaxa为什么这么重要？这些变化与加密转换无关；攻击者无法使用它们发起计时攻击。
$ \ endgroup $
–纳特
17年7月5日在19:19

---

$ \ begingroup $
它们很重要，因为这可能导致在给定的时间限制内执行，在这种情况下您什么也不能做，并且将显示原始执行时间。该方法不能解决问题，而是试图通过降低执行速度来隐藏它，但无论如何都需要更改密钥，因此效果不佳。如果您可以快速更改密钥，为什么还要打扰您的修复程序？或者我们可以使用固定时间实现...
$ \ endgroup $
–axapaxa
17年7月5日在23:47

---