Очередное подтверждение факта, что нынешние ширпотребные средства аппаратного шифрования совершенно непригодны для заявленных целей. Или, вернее, их преимущества перед чисто программными реализациями иллюзорны.

Несмотря на закрытость самого исследования, его авторы намереваются продемонстрировать «в действии» свою методику на одной из криптографических конференций, которая состоится в начале 2007 года. Сам д-р Сейферт полагает, что производители чипов жертвуют безопасностью ради повышения их характеристик.

http://eprint.iacr.org/2006/351

Очередное подтверждение факта, что нынешние ширпотребные средства аппаратного шифрования совершенно непригодны для заявленных целей. Или, вернее, их преимущества перед чисто программными реализациями иллюзорны.

Или программные средства шифрования непригодны для работы на обычном PC без специализированного криптопроцессора, который пользователь собрал бы на своём собственном заводе (у NSA такой есть).

...по открытым исходникам, конечно.

...по открытым исходникам, конечно.

Надо попросить NSA открыть исходники своих криптопроцессоров.

И завода, в порядке компилятора.

http://eprint.iacr.org/2006/351

А мне вот интересно стало – почему разговор идет именно про 512-битный ключ? Ведь казалось бы – эфект заявления был бы круче, окажись это вообще 2056-битный ключ...
Так что – кирдык системе на открытых ключах или достаточно хотя бы просто больший ключ выбрать?
Спецы по процам, ау! А попробуйте на пальцах объяснить что и как там происходит при ветвлении/предсказании и на сколько на это влияет длнна ключа (фактически – блок данных разного размера)... Потому как пусть стойкость такого длинного ключа упадёт вдвовое – мне хватит для спокойного сна! :)

А какой длинны ключ в Tor? И как переписать алгоритм для повышения устойчивости к подобным атакам?

В Tor много разных ключей. Для аутентификации узлы используют 1024-битовые RSA. Директории заверяют списки узлов 2048-битовыми (вроде бы). Трафик шифруется AES (длину ключа с ходу не назову: 128 или 256 бит).

А алгоритмы и так хороши, с ними ничего делать не надо. Проблема (исходя из данной публикации и статей, на которые приведены ссылки) исключительно в аппаратных реализациях.

Статья бред, так как требует запуска вредоносного кода на атакуемой машине. Если такой запуск возможен, то ключ любого размера, любого криптоалгоритма ломается мгновенно (со скоростью чтения памяти :)
Честно говоря, уже надоели подобные статьи, о мифических уязвимостях. Например неоднократно появлялись статьи про уязвимость в windows, для использования которой следует иметь всего лишь права администратора :) Имхо аффтарам таких статей надо делать ампутацию их никуда не годного мозга.

В развитие темы...

Что-то я совсем запутался с появлением новой статьи :-[
Это относится только к аппаратным реализациям или нет? Не объяснит ли кто-нибудь простыми русскими словами о том, что это за атака? :-[

Скажем так, эта атака реализуема на любых мультитрединговых (многопоточных) процессорах, в частности, на Pentium 4. Для предотвращения атаки софт или аппаратура должны использовать особые методы обработки данных. (Всем своим клиентам всегда советовал ПК с наиболее простыми ЦПУ для особо важных задач. Как видно, не зря.)

Да какая разница, какой там CPU? Снять из памяти ключ любого размера – это минутное дело для программиста знающего систему. Локальные таймерные атаки имеют не больше смысла, чем скажем вскрытие двери топором, если в замочной скважине торчит ключ.

Если речь идет об анализе предсказания переходов, то это относиться только к процессорам с суперскалярной архитектурой (это все применыемые в ПК начиная с пентиума). Маломошьные криптографические чипы и программируемые микроконтролеры такой архитектурой не обладают (как и невозможен в принципе анализ их загруженности, ввиду отсутствуия многозадачности).

В статье, которую SATtva привел под линком "В развитие темы..." говориться о использовании этого метода для взлома DRM защит контента.
Опять высоколобые математики изобрели сложное решение простой задачи. Применителько к защищенному контенту воспроизводимому на PC, возможны куда более простые и эффективные методы взлома (взлом программ и DRM форматов это моя работа). Вкратце расскажу о реально применыемых в этой области методиках:
1) Перехват данных на точках обработки IRP драйверами устройств вывода. Этот метод хорошо применим к звуковому контенту (хотя работает и на большинстве защит видео контента), и дает 100% дамп любого защищенного звукового формата. Для ускорения дампа используется перепрограммирование мультимедиа таймера, что позволяет делать дамп со скоростью ограниченой только процессором. Получений дамп затем пережимается в любой незащищенный формат (например mp3).
2) Снятие дампа из памяти устройства. Этот метод применяется только против методов защиты, в которых декодирование видео контента выполняет железо (например HDCP на BlueRay дисках). Суть этого метода состоит в том, чтобы посылая одиночные сообщения от системного таймера, привести процесс воспроизведения в покадровый режим. После каждого кадра производиться чтение pci shared memory устройства (там находиться жкранный буфер видеокарты). После чего дамп анализируется, из него извлекается уже декодированый кадр. Единственная трудность тут только изначально разобраться с форматом хранения данных в видеопамяти, но это обычно дело нескольких дней.
3) Реверсинг прошивок устройств. Этот метод позволяет ломать все форматы не предназначеные для воспроизведения на PC. Суть его состоит в том, чтобы извлечь из прошивки код выполняющий декодирование контента (вместе со всеми ключами). Из здесь приведенных, наиболее сложен в реализации.

Так что не бойтесь, пираты никуда не денуться. Пока все DRM защиты какие я видел, ломались без применения жуткой высоколобой математики.