/ CC BY / chuttersnap
古典的な方法の本質は何ですか
「タイムアタック」の新しいバージョンに移る前に、少し逸脱して、それらが一般的にどのように機能するかについて話しましょう。それらは、特定のクエリの計算時間を分析する過程で、暗号システムの設計、プロセッサのタイプ、および使用されるアルゴリズムのアイデアを得ることができるという仮定に基づいています。このデータに基づいて、攻撃者は秘密鍵情報を徐々に回復することができます。
数年前、スタンフォード大学の専門家は、タイミング攻撃を使用してOpenSSLをクラックする可能性を証明しました。ただし、それを実装することは非常に困難です。ネットワークのジッタがタイミングに深刻な影響を与えるためです。しかし、ベルギーのルーベンカトリック大学とアブダビのニューヨーク大学のエンジニアのグループは、この制限を回避できることを示しました。USENIX
会議で、彼らは「タイミング攻撃」の新しい方法、つまりネットワークパラメータに依存しない時代を超越したタイミング攻撃を実演しました。
新しいアプローチの仕組み
エンジニアは、サーバーにリクエストを次々にではなく、同時に(1つのパッケージで)送信することを提案しました。これは、直接行うことも、クロスサイトスクリプトを使用して行うこともできます(5ページ)。
Habréに関するブログからの新鮮な投稿:
そのため、エラーはサーバー応答のパラメーターによってのみ発生し、ネットワークのジッターが結果に与える影響を軽減します。たとえば、ハッカーは暗号化アルゴリズムの実行時間を100ナノ秒の精度で見積もることができます。これは、従来の攻撃の100分の1です。エンジニアは、HTTP / 2およびWPA3プロトコルを使用して作成したエクスプロイトをテストしました。どちらの場合も、時代を超越したタイミング攻撃は成功しました。
身を守る方法
最も明白な方法は、すべての操作に同じ時間がかかるシステムを実装することです。しかし、予期しない逸脱が常に発生するため、実際にこれを行うことは事実上不可能です。別のオプションは、すべての計算にランダムな遅延を追加することです。このアプローチでは、測定が不正確になり、ハッカーの作業が非常に複雑になります。
/ CC BY / Erik Mclean
タイムレスタイミング攻撃から保護するもう1つのオプションは、多重化をサポートしないHTTP /1.1を使用することです。この場合、攻撃者は1つのパケットで攻撃を実行するために必要な複数の要求を送信できません。
ベルギーとアブダビのエンジニアは、ネットワークの運用に深刻な制限を課さない他の方法を提示していません。しかし、彼らはこの方向で研究を続けることを計画しています。
私たちの企業ブログで読むべきこと: