Akustická kryptoanalýza

Akustická kryptoanalýza je typ  pasivního útoku na postranní kanál, jehož cílem je získat informace ze zvuků produkovaných počítači nebo jinými šifrovacími zařízeními . Zpočátku byl tento útok používán k hacknutí elektromechanických šifrovacích strojů a dopadových tiskáren . V moderní akustické kryptoanalýze se však hlavní důraz klade na hluk generovaný klávesnicí nebo vnitřními součástmi počítače.

Historie

V roce 1974 Victor Marchetti ( eng.  Victor Marcetti ) a John D. Marks uspěli v odtajnění použití zvuků CIA zachycených při tisku šifrovacího stroje s prostým textem . [1] Tato metoda se stala možnou s příchodem poměrně levných zařízení, která implementují rychlou Fourierovu transformaci , což se v tomto případě stalo koncem 60. let - v polovině 70. let.

Podobné akustické útoky za použití primitivnějších metod se však prováděly již v polovině 50. let. Bývalý agent MI5 Peter Wright své knize Spycatcher popisuje použití kryptoanalýzy proti egyptským šifrovacím strojům Hagelin . Tato operace byla označena kódovým názvem „ENGULF“. [2]

Během operace v roce 1956 byla na londýnské ambasádě Egypta umístěna odposlouchávací zařízení , která zachytila ​​zvuky vydávané šifrovacími stroji. To umožnilo britským zpravodajským důstojníkům získat utajované informace, které ovlivnily britskou pozici v Suezské krizi .

MI5 také úspěšně použila tuto metodu v operaci STOCKADE k odposlechu francouzské ambasády v Londýně. [2]

Známé způsoby útoku

V roce 2004 Dmitrij Asonov a Rakesh Agrawal, kteří pracovali ve výzkumném středisku Almaden, IBM , oznámili, že klávesnice počítačů, telefonů a bankomatů jsou zranitelné vůči útokům stisku kláves . Analýzou zvukového záznamu pomocí neuronové sítě byli schopni znovu vytvořit text napsaný na jiném počítači. Tato metoda umožňuje útočníkům naučit se hesla, PIN kódy a další informace zadávané z klávesnic.

V roce 2005 provedla skupina vědců z Kalifornské univerzity v Berkeley sérii praktických experimentů, které potvrdily možnost útoku navrženého Asonovem a Agrawalem. [3]

Akustický útok na RSA

Mnoho částí počítače během provozu vydává vysokofrekvenční zvuk. Nejde však jen o šum – z něj lze získat data o spuštěných programech a zejména chráněné informace o výpočtech bezpečnostního systému.

V roce 2004 Adi Shamir a Eran Tromer prokázali proveditelnost útoku analýzy časovaného postranního kanálu na CPU provádějící kryptografické operace. Přitom se neanalyzovalo elektromagnetické záření počítače ani citelný rachot chladicího systému , ale ultrazvuk vydávaný kondenzátory a induktory na základní desce v napájecích obvodech CPU. [čtyři]

RSA byl vybrán jako šifrovací algoritmus v implementaci GnuPG . Experiment byl proveden jak s levným veřejně dostupným zařízením, tak s citlivějším, ale nákladnějším. V prvním případě byl levný mikrofon umístěn ve vzdálenosti 20 cm od otevřené skříně s vypnutými ventilátory. Ve druhém případě se podmínky blížily reálu – hacknutý počítač se nacházel ve vzdálenosti 1-2 metrů a byl ve smontovaném stavu. V obou případech bylo dosaženo podobných výsledků.

Ve spolupráci s Danielem Genkinem, Adi Shamirem a Eranem Tromerem pokračovali ve zkoumání problému. Díky tomu tento útok úspěšně realizovali a v prosinci 2013 publikovali článek s výsledky. [5]

Díky odvedené práci se jim podařilo výrazně zlepšit útok. Tato metoda dokáže extrahovat celý 4096bitový klíč RSA z notebooku oběti za 1 hodinu práce . Chcete-li to provést, stačí položit mobilní telefon vedle notebooku. Citlivější mikrofon lze nainstalovat do vzdálenosti 4 metrů od počítače.

Jak to funguje

Typicky útoky postranním kanálem vyžadují měření s časovým rozlišením blízkým době provedení jedné operace. Ale v počítačích jsou operace mnohem rychlejší (řádově GHz) než frekvence přijímacích mikrofonů (až 20 kHz pro konvenční mikrofony a až několik set kHz pro ultrazvukové mikrofony). [6] I s pomocí takového měření je však možné úplné vytažení klíče.

Výzkum zjistil, že operace šifrování RSA (balíčku GnuPG) má charakteristické frekvenční spektrum . Navíc spektrum v mnoha případech vykazuje klíčovou závislost, to znamená, že různé klávesy produkují různé zvuky.

Proces extrakce klíče je založen na adaptivně zvoleném šifrovém útoku . Vzhledem ke zvláštnostem implementace šifrovacího algoritmu se v cyklu algoritmu objevuje řada nul. Jeden průchod smyčkou je příliš rychlý na to, aby jej mikrofon zachytil. Ale když se tato událost opakuje po několik tisíc průchodů, únik přes akustický kanál se stává významným, což umožňuje získat informace o klíči bit po bitu.

Doba provedení útoku a jeho úspěšnost závisí na mnoha parametrech – poloze mikrofonu, vnějším hluku, akustice místnosti, modelu napadeného vozu a dokonce i okolní teplotě. Průměrná doba útoku na notebook Lenovo ThinkPad T61 za běžných kancelářských podmínek s přenosným mikrofonem trvala 1 hodinu. [7]

Použití
  • Po domluvení schůzky s obětí může útočník umístit svůj telefon s hackerskou aplikací vedle notebooku oběti a provést útok.
  • Hackerskou aplikaci lze stáhnout do telefonu oběti. Poté zbývá jen čekat, až oběť omylem položí mobilní telefon vedle notebooku.
  • Samotné hacknuté zařízení lze použít proti sobě. Webová stránka s přístupem k mikrofonu (může být implementována například pomocí Flash nebo HTML Media Capture), otevřená řekněme pod záminkou videokonference, může být použita k nabourání do počítače, na kterém je tato stránka otevřena.
  • Nová aplikace pro poslechová zařízení a laserové mikrofony.
  • Útočník pošle kompromitovaný server s citlivým mikrofonem a nezbytným softwarem do kolokace . Provedením akustického krypto útoku se útočník může nabourat do všech okolních počítačů.
  • Faradayovy klece , „ vzduchové mezery “ a bateriové filtry se používají k ochraně zařízení před útoky z postranních kanálů . Všechny tyto metody jsou však proti akustické kryptoanalýze neúčinné. Například zařízení chráněné Faradayovou klecí podle standardu TEMPEST účinně potlačuje jakékoli elektromagnetické záření, ale akustické záření volně prochází mřížkami chladicího systému. [5]

Kromě akustického útoku byla výzkumníky navržena podobná metoda potenciálního fluktuačního hackování . Útočník může změřit potenciální změny na konci kabelu připojeného k počítači (například Ethernet ) a provést tak úspěšný útok.

Možný je i futuristický způsob hackování na jeden dotek – útočník se dotkne skříně počítače / notebooku a potřebné informace získá měřením potenciálu vlastního těla. [5]

Opozice

Výzkumníci upozornili vývojáře GnuPG a hlavní dodavatele na zranitelnost a navrhli možná protiopatření. [8] Současně s publikací článku (prosinec 2013) byly vydány aktualizace pro GnuPG 1.x, GnuPG 2.x a libcrypt, které tato protiopatření implementovaly. Je však třeba poznamenat, že to před tímto akustickým útokem zcela nechrání (např. jeden RSA klíč lze stále odlišit od druhého).

Zajímavé je, že ochrana proti útokům postranním kanálem, která se objevila v GnuPG před tím, nejen že před tímto útokem nechránila, ale také usnadnila rozpoznání klíče. [5]

Navzdory skutečnosti, že útok je fyzický, je v tomto případě ochrana na softwarové úrovni efektivnější kvůli vysokým nákladům s malým přínosem. Jakékoli zbytkové záření může být často zesíleno na přijatelnou úroveň, zatímco většina šumu nenese žádnou informaci. Ochrana na softwarové úrovni může zajistit, že uniklé informace budou pro útočníka k ničemu.

Obrana

Chcete-li se chránit před odposloucháváním zvuků stisknutí kláves na klávesnici, můžete přehrávat zvuky stejné frekvence a tvaru. Přehráváním zvuků kláves v náhodném pořadí můžete výrazně snížit pravděpodobnost úspěšného provedení tohoto typu útoku. Je žádoucí použít alespoň 5 různých položek pro každé tlačítko, aby se snížilo riziko rozpoznání pomocí rychlé Fourierovy transformace . [9] Alternativně může bílý šum dostatečné hlasitosti (který je technicky jednodušší na implementaci) skrýt zvuky stisku tlačítek.

Proti útokům, které využívají šum pracovních komponent, můžete použít speciální ozvučnice s potlačením hluku, které dokážou tlumit vydávané zvuky charakteristické frekvence. Můžete použít i generátor bílého šumu, ale tento způsob nemusí být z ergonomického hlediska atraktivní. Navíc použití vysoce kvalitních rádiových komponent a speciálně navržených elektrických obvodů může pomoci snížit amplitudu vyzařovaného hluku.

Úpravou softwaru můžete také implementovat ochranu na úrovni softwaru. Změny provedené ve způsobu fungování algoritmu mohou omezit užitečnost informací, které může útočník zachytit. Tyto úpravy obvykle ovlivňují výkon, ale umožňují, aby chování kryptografického algoritmu bylo nezávislé na vstupu. [čtyři]

Viz také

Poznámky

  1. Marchetti, Victor & Marks, John (1973), The CIA and the Craft of Intelligence 
  2. 1 2 Wright, Peter (1987), Spycatcher: Upřímná autobiografie vyššího zpravodajského důstojníka Vikinga 
  3. Yang, Sarah Výzkumníci obnovují napsaný text pomocí zvukového záznamu úhozů (14. září 2005). Datum přístupu: 28. prosince 2013. Archivováno z originálu 24. prosince 2013.
  4. 1 2 Šamír, Adi; Tromer, Eran Akustická kryptoanalýza: Na zvědavých lidech a hlučných strojích . tau.ac.il. Datum přístupu: 28. prosince 2013. Archivováno z originálu 24. prosince 2013.
  5. 1 2 3 4 Genkin, Daniel; Shamir, Adi; Tromer, Eran Extrakce klíče RSA prostřednictvím nízkopásmové akustické kryptoanalýzy . tau.ac.il. Datum přístupu: 28. prosince 2013. Archivováno z originálu 23. prosince 2013.
  6. Kocher, Jaffe, Jun, Rohatgi, 2011 .
  7. Genkin, Shamir, Tromer, 2013 .
  8. Běžné chyby zabezpečení a ohrožení, CVE-2013-4576 . Získáno 28. prosince 2013. Archivováno z originálu 10. srpna 2014.
  9. Asonov, Dmitri & Agrawal, Rakesh (2004), Keyboard Acoustic Emanations , < http://rakesh.agrawal-family.com/papers/ssp04kba.pdf > Archivováno 27. února 2012 na Wayback Machine 

Literatura

  • Západní N.The Circus: MI5 Operations 1945-1972. — New York: Stein and Day, 1983.
  • Epstein, Leon D. Britská politika v Suezské krizi. Urbana: University of Illinois Press.
  • Louis, William Roger a Roger Owen. Suez 1956: Krize a její důsledky. — New York: Oxford University Press, 1989.
  • Wrighte, Petere. Spycatcher: The Candid Autobiography of Senior Intelligence Officer . — New York: Viking, 1987.
  • Victor Marchetti, John D. Marks. CIA a kult inteligence . - Alfred A. Knopf, 1974. - 398 s. — ISBN 0-394-48239-5 .
  • Paul Kocher, Joshua Jaffe, Benjamin Jun, Pankaj Rohatgi. Úvod do diferenciální analýzy výkonu. - 2011. - (Journal of Cryptographic Engineering, 1(1):5).
  • Daniel Genkin, Adi Shamir, Eran Tromer. Extrakce klíče RSA pomocí nízkopásmové akustické kryptoanalýzy. — 2013.

Odkazy