id: Гость   вход   регистрация
текущее время 09:15 29/03/2024
Автор темы: unknown, тема открыта 22/08/2005 12:54 Печать
https://www.pgpru.com/Форум/Криптография/ОбходОграниченийДоступаККлючуЗаСчетНовыхТайминг-атак
создать
просмотр
ссылки

Обход ограничений доступа к ключу за счет новых тайминг-атак


По данным исследователей:
Dag Arne Osvik and Adi Shamir and Eran Tromer
и их работы
"Cache attacks and Countermeasures: the Case of AES"


http://eprint.iacr.org/2005/271


Новые достижения в тайминг-атаках на примере шифрования AES ставят под угрозу безопасность многих систем,
делая бесполезным разделение контроля доступа к ключу.
В тестовых примерах на openSSL и Linux dm-crypt/cryptoloop ключ раскрывался за несколько сотен или тысяч попыток
в считанные секунды. Любой пользователь или процесс системы, какими бы ограниченными правами он не обладал,
может проделать эту операцию, например, если у него есть право на запись хотя бы одного файла в шифрованном разделе (контейнере).


Атаки основаны на измерении скорости работы памяти кэша процессора при проведении пробных шифрований. они также могут быть использованы удаленно. Например, посылая пакеты через VPN,
пользователь может вычислить ключ VPN, который используется и другими пользователями, а затем расшифровать данные из их потоков. Нечто аналогичное было использовано против сети tor
http://www.pgpru.com/forum/viewtopic.php?t=921, хотя речь не шла о раскрытии ключа, а лишь установлении корреляций времени для преодоления анонимности сети.


Актуальна такая атака должна быть для операционных систем, находящихся на полностью шифрованном диске:
любое, самое незначительное приложение сможет выполнить быструю серию пробных шифрований и вычислить ключ, хотя для прямого доступа к ключу у него нет прав.


Для однопользовательских систем, подключенных к Интернету эту работу могут выполнить ActiveX компоненты, JAVA и JavaScript,
которые казалось бы должны быть изолированы от прямого доступа к ключам шифрования.


Небезопасен в этом плане запуск программ в изолированном окружении – виртуальных машинах, "песочницах", "chroot-jail environment".


Также от таких атак могут пострадать системы ограничения использования авторских прав – DRM.


Помимо шифрования AES могут быть уязвимы DES-подобные шифры, RSA, ECC и др.
В меньшей мере – криптопримитивы без S-блоков или времязависимых операций (Serpent, SHA).


Частичное решение проблемы тайминг-атак по мнению исследователей, может быть достигнуто, к примеру, в Linux-системах.
Это достигается за счет того, что криптографические примитивы включены в ядро ОС и к ним можно ограничить доступ "недоверенных" процессов. Альтернативный вариант – поддержка операционной системой специальных режимов для "чувствительных" участков кода.


По этому поводу вспоминаются слова Шнайера, который утверждал, что криптография в ненадежных операционных системах бесполезна, а безопасных ОС, специально рассчитанных на использование криптографических протоколов еще не создано и не появится в ближайшее время.


 
Комментарии
— unknown (12/10/2005 08:59)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Думаю это дополнение будет интересным:

Я пропустил кроме самой работы еще ссылку на презентацию:

filehttp://www.iacr.org/conferences/crypto2005/r/6.ppt

и ролик:

http://www.iacr.org/conferences/crypto2005/r/6.mov

В презентации интересна ГИПЕРатака против процессоров, поддерживающих технологию HyperThreading (хотя и не только их).
(Спасибо фирме Интел за новые технологии).

Никакого доступа на запись в контейнер для такой атаки вообще не нужно. Достаточно заполнить кэш процессора данными и подождать, пока они вытолкнуться в процессе шифрования, после чего измерять промежутки времени этого процесса. Это действительно гиператака (статистическая), поскольку не требует доступа ни к открытому, ни к шифртексту вообще.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3