Akustisk kryptoanalys

Akustisk kryptoanalys är en typ  av passiv sidokanalsattack som syftar till att erhålla information från ljud som produceras av datorer eller andra krypteringsenheter . Inledningsvis användes denna attack för att hacka elektromekaniska krypteringsmaskiner och påverka skrivare . Men i modern akustisk kryptoanalys ligger huvudfokus på bruset som genereras av tangentbordet eller de interna komponenterna i datorn.

Historik

1974 lyckades Victor Marchetti ( eng.  Victor Marcetti ) och John D. Marks avklassificera användningen av CIA:s användning av ljud som fångats upp i utskriften av en vanlig text chiffermaskin . [1] Denna metod blev möjlig med tillkomsten av ganska billiga enheter som implementerar den snabba Fouriertransformen , vilket i det här fallet skedde i slutet av 1960-talet - mitten av 1970-talet.

Liknande akustiska attacker med mer primitiva metoder utfördes dock redan i mitten av 1950-talet. Den tidigare MI5- agenten Peter Wright beskriver användningen av kryptoanalys mot egyptiska Hagelin- chiffermaskiner sin bok Spycatcher . Denna operation fick kodnamnet "ENGULF". [2]

Under operationen 1956 placerades avlyssningsapparater i Londons ambassad i Egypten , som avlyssnade ljudet från chiffermaskiner. Detta gjorde det möjligt för brittiska underrättelsetjänstemän att få sekretessbelagd information, vilket påverkade den brittiska positionen i Suezkrisen .

MI5 använde också framgångsrikt denna metod i Operation STOCKADE för att avlyssna den franska ambassaden i London. [2]

Kända attackmetoder

2004 meddelade Dmitry Asonov och Rakesh Agrawal, som arbetade på Almaden Research Center, IBM , att dator-, telefon- och ATM- tangentbord var sårbara för tangenttrycksattacker . Genom att analysera ljudinspelningen med hjälp av ett neuralt nätverk kunde de återskapa texten som skrevs på en annan dator. Denna metod tillåter angripare att lära sig lösenord, PIN-koder och annan information som skrivs in från tangentbord.

År 2005 genomförde en grupp forskare från University of California i Berkeley en serie praktiska experiment som bekräftade möjligheten för attacken som föreslagits av Asonov och Agrawal. [3]

Akustisk attack på RSA

Många delar av datorn avger högfrekvent ljud under drift. Detta är dock inte bara buller - från det kan du få data om program som körs, och i synnerhet skyddad information om säkerhetssystemets beräkningar.

2004 demonstrerade Adi Shamir och Eran Tromer genomförbarheten av en tidsinställd sidokanalanalysattack på en CPU som utför kryptografiska operationer. Samtidigt var det inte den elektromagnetiska strålningen från datorn eller det märkbara mullret från kylsystemet som analyserades , utan ultraljudet som sänds ut av kondensatorer och induktorermoderkortet i CPU-strömkretsarna. [fyra]

RSA valdes som chifferalgoritm i GnuPG- implementeringen . Experimentet genomfördes både med billig allmänt tillgänglig utrustning och med känsligare, men dyrare. I det första fallet var en billig mikrofon placerad på ett avstånd av 20 cm från ett öppet fodral med fläktarna avstängda. I det andra fallet var förhållandena nära verkliga - den hackade datorn befann sig på ett avstånd av 1-2 meter och var i monterat tillstånd. I båda fallen uppnåddes liknande resultat.

Samarbetet med Daniel Genkin, Adi Shamir och Eran Tromer fortsatte att utforska frågan. Som ett resultat genomförde de framgångsrikt denna attack och publicerade en artikel med resultaten i december 2013. [5]

Tack vare det utförda arbetet lyckades de förbättra attacken avsevärt. Denna metod kan extrahera hela 4096- bitars RSA - nyckeln från offrets bärbara dator på 1 timmes arbete . För att göra detta ställer du bara din mobiltelefon bredvid din bärbara dator. En känsligare mikrofon kan installeras på ett avstånd av 4 meter från datorn.

Hur det fungerar

Vanligtvis kräver sidokanalsattacker mätningar med en tidsupplösning nära exekveringstiden för en enskild operation. Men i datorer är operationerna mycket snabbare (i storleksordningen GHz) än frekvensen för mottagningsmikrofoner (upp till 20 kHz för konventionella mikrofoner och upp till flera hundra kHz för ultraljudsmikrofoner). [6] Men även med hjälp av sådana mätningar är fullständig utdragning av nyckeln möjlig.

Forskning har funnit att RSA- krypteringsoperationen (av GnuPG-paketet) har ett karakteristiskt frekvensspektrum . Dessutom uppvisar spektrumet i många fall tangentberoende, det vill säga olika tangenter producerar olika ljud.

Nyckelextraktionsprocessen är baserad på en adaptivt vald chiffertextattack . På grund av särdragen med implementeringen av krypteringsalgoritmen visas en serie nollor i algoritmcykeln. En passage genom slingan är för snabb för att mikrofonen ska kunna ta upp den. Men när denna händelse upprepas i flera tusen pass blir läckaget genom den akustiska kanalen betydande, vilket gör att bit-för-bit information om nyckeln kan erhållas.

Utförandetiden för attacken och dess framgång beror på många parametrar - mikrofonens position, externt brus, rummets akustik , modellen på den attackerade bilen och till och med omgivningstemperaturen. I genomsnitt tog attacktiden på en Lenovo ThinkPad T61 bärbar dator under normala kontorsförhållanden med en bärbar mikrofon 1 timme. [7]

Användning
  • Efter att ha ställt in ett möte med offret kan angriparen placera sin telefon med ett hackprogram bredvid offrets bärbara dator och utföra en attack.
  • Hackningsappen kan laddas ner till offrets telefon. Efter det återstår det bara att vänta på att offret av misstag lägger ut mobiltelefonen bredvid den bärbara datorn.
  • Den hackade enheten i sig kan användas mot sig själv. En webbsida med mikrofonåtkomst (kan till exempel implementeras med Flash eller HTML Media Capture), som öppnas, säg under förevändning av en videokonferens, kan användas för att hacka sig in på datorn där sidan är öppen.
  • En ny applikation för lyssningsapparater och lasermikrofoner.
  • En angripare skickar en komprometterad server med en känslig mikrofon och nödvändig programvara till samlokaliseringen . Genom att utföra en akustisk kryptoattack kan en angripare hacka sig in på alla närliggande datorer.
  • Faraday-burar , " luftgap " och batterifilter används för att skydda enheter från sidokanalattacker . Alla dessa metoder är dock ineffektiva mot akustisk kryptoanalys. Till exempel, en anordning skyddad av en Faraday-bur enligt TEMPEST- standarden dämpar effektivt all elektromagnetisk strålning, men akustisk strålning passerar fritt genom kylsystemets galler. [5]

Förutom akustiska attacker har en liknande potentiell fluktuationshackningsmetod föreslagits av forskare . En angripare kan mäta de potentiella förändringarna i änden av en kabel som är ansluten till en dator (till exempel Ethernet ) och på så sätt utföra en framgångsrik attack.

En futuristisk hackningsmetod med en knapptryckning är också möjlig - angriparen rör vid datorns/bärbara datorns fodral och får den nödvändiga informationen genom att mäta potentialen i sin egen kropp. [5]

Opposition

Forskare har gjort GnuPG-utvecklare och större leverantörer medvetna om sårbarheten och föreslagit möjliga motåtgärder. [8] Samtidigt med publiceringen av artikeln (december 2013) släpptes uppdateringar för GnuPG 1.x, GnuPG 2.x och libcrypt, som implementerade dessa motåtgärder. Det är dock värt att notera att detta inte helt skyddar mot denna akustiska attack (till exempel kan en RSA- nyckel fortfarande särskiljas från en annan).

Intressant nog, skyddet mot sidokanalattacker som dök upp i GnuPG innan dess, inte bara skyddade inte mot denna attack, utan gjorde det också lättare att känna igen nyckeln. [5]

Trots att attacken är fysisk är skyddet på mjukvarunivå i det här fallet mer effektivt på grund av höga kostnader med liten nytta. Eventuell reststrålning kan ofta förstärkas till en acceptabel nivå, medan det mesta av bruset inte bär någon information. Skydd på programvarunivå kan säkerställa att den läckta informationen kommer att vara värdelös för en angripare.

Försvar

För att skydda mot avlyssning av tangenttryckningsljud kan du spela ljud med samma frekvens och form. Genom att spela tangenttryckningsljud i slumpmässig ordning, kan du avsevärt minska sannolikheten för framgångsrik exekvering av denna typ av attack. Det är önskvärt att använda minst 5 olika poster för varje knapp för att minska risken för igenkänning med den snabba Fouriertransformen . [9] Alternativt kan vitt brus med tillräcklig volym (vilket är tekniskt lättare att implementera) dölja ljudet av knapptryckningar.

Mot attacker som använder bruset från fungerande komponenter kan du använda speciella brusreducerande kapslingar som kan dämpa de utsända ljuden av en karakteristisk frekvens. Du kan också använda en generator för vitt brus, men denna metod kanske inte är attraktiv ur ergonomisk synvinkel. Dessutom kan användningen av högkvalitativa radiokomponenter och specialdesignade elektriska kretsar bidra till att minska amplituden på det utsända bruset.

Du kan också implementera skydd på programvarunivå genom att modifiera programvaran. Ändringar som görs i hur algoritmen fungerar kan begränsa användbarheten av information som en angripare kan fånga upp. Dessa modifieringar påverkar vanligtvis prestandan, men tillåter beteendet hos den kryptografiska algoritmen att vara oberoende av indata. [fyra]

Se även

Anteckningar

  1. Marchetti, Victor & Marks, John (1973), CIA and the Craft of Intelligence 
  2. 1 2 Wright, Peter (1987), Spycatcher: The candid selfbiography of a senior intelligence officer , Viking 
  3. Yang, Sarah Forskare återställer maskinskriven text med hjälp av ljudinspelning av tangenttryckningar (14 september 2005). Datum för åtkomst: 28 december 2013. Arkiverad från originalet 24 december 2013.
  4. 1 2 Shamir, Adi; Tromer, Eran Akustisk kryptoanalys: På nyfikna människor och bullriga maskiner . tau.ac.il. Datum för åtkomst: 28 december 2013. Arkiverad från originalet 24 december 2013.
  5. 1 2 3 4 Genkin, Daniel; Shamir, Adi; Tromer, Eran RSA-nyckelextraktion via akustisk krypteringsanalys med låg bandbredd . tau.ac.il. Datum för åtkomst: 28 december 2013. Arkiverad från originalet 23 december 2013.
  6. Kocher, Jaffe, Jun, Rohatgi, 2011 .
  7. Genkin, Shamir, Tromer, 2013 .
  8. Vanliga sårbarheter och exponeringar, CVE-2013-4576 . Hämtad 28 december 2013. Arkiverad från originalet 10 augusti 2014.
  9. Asonov, Dmitri & Agrawal, Rakesh (2004), Keyboard Acoustic Emanations , < http://rakesh.agrawal-family.com/papers/ssp04kba.pdf > Arkiverad 27 februari 2012 på Wayback Machine 

Litteratur

  • West N.The Circus: MI5 Operations 1945–1972. — New York: Stein and Day, 1983.
  • Epstein, Leon D. Brittisk politik i Suezkrisen. Urbana: University of Illinois Press.
  • Louis, William Roger och Roger Owen. Suez 1956: Krisen och dess konsekvenser. — New York: Oxford University Press, 1989.
  • Wright, Peter. Spycatcher: The Candid Autobiography of a Senior Intelligence Officer . — New York: Viking, 1987.
  • Victor Marchetti, John D. Marks. CIA och underrättelsekulten . - Alfred A. Knopf, 1974. - 398 sid. — ISBN 0-394-48239-5 .
  • Paul Kocher, Joshua Jaffe, Benjamin Jun, Pankaj Rohatgi. Introduktion till differentialeffektanalys. - 2011. - (Journal of Cryptographic Engineering, 1(1):5).
  • Daniel Genkin, Adi Shamir, Eran Tromer. RSA-nyckelextraktion via akustisk krypteringsanalys med låg bandbredd. — 2013.

Länkar