Ispostavilo se da baka nije samo koristila vrpcu da blokira trepćuće 12:00 na svom videorekorderu, već je također blokirala kriptografske napade na bočnim kanalima! Tko je znao?
LED ne 'treperi s pojedinačnim bitovima'. Samo je uključeno. Problem je u tome što kada je uključen, fluktuacije u potrošnji energije procesora uzrokuju male fluktuacije u naponu napajanja što rezultira malim fluktuacijama u svjetlini, i TO je ono što ovaj napad poluge. Ili s obzirom na RGB LED, napad iskorištava promjenu boje zbog činjenice da crvena LED ima niži prednji napon od zelene ili plave LED diode, što znači da se za određenu promjenu napona napajanja svjetlina crvene LED diode mijenja u manjoj mjeri od svjetline plave i zelena.Jeff S je rekao:Ili možda imate sklop koji samo nameće minimalno/maksimalno uključeno vrijeme. To jest, kao u svakoj desetinki sekunde vremenskog isječka u kojem se kartici uopće pristupa, svjetlo svijetli cijelu 1/10 sekunde - dakle, ako je kartica očitavajući 128-bitni ključ, vjerojatno čita svih 128 bitova za manje od 1/10 sekunde, tako da bi svjetlo ostalo upaljeno cijelu 1/10 sekunde, a zatim isključiti. Ovo čuva ideju nadzora kada se pristupa uređaju, ali ne i stvarnog treptanja LED-a s pojedinačnim bitovima.
Kliknite za proširenje...
Bljeskanje LED-a značilo bi da ste ispuštali informacije o napajanju samo dok je LED uključen, pa bi to bilo a ublažavanje--to bi značilo da će napadač trebati više prolaza da uhvati cijeli proces--ali ne bi eliminirao problem.
To što to možete učiniti pomoću LED-a na čitaču (umjesto da napravite čitač s instrumentima) ipak je impresivan napredak. Kao da obijate bravu iza ugla držeći bravu štapom za hvatanje smeća.
Nije čak ni da je to novi problem, kripto bi trebao biti dizajniran da oduzima jednako vrijeme i koristi jednaku količinu energije bez obzira na to koliko se bitova podudara. tj. uopće ne bi trebalo preskakati nikakve evaluacije; ako će izvesti logički OR od 1 i nepoznate, trebao bi izračunati tu nepoznatu (umjesto da je preskoči kao obično).
Čitav razlog za posjedovanje pametne kartice na prvom mjestu je taj što ključ sigurno stoji na pametnoj kartici i čitač ga ne može klonirati bez rastavljanja kartice.
uredi: Evo hardverske ideje za pametne kartice (nije idealno, više kao zaobilazno rješenje). Upotrijebite shunt regulator (tako da troši konstantnu struju bez obzira na snagu koju koristi kripto čip) ili niz od nekoliko shunt regulatora, zaštitite elektroniku uključujući regulator. Shunt regulator može se izgraditi tako da su varijacije potrošene struje dovoljno daleko ispod termalnog šuma da ne možete dobiti nikakve podatke u postavljenom vremenskom rasponu.
edit2: regulator bi bio na samoj pametnoj kartici. Neuobičajeno je koristiti shunt regulatore jer su, naravno, energetski neučinkoviti.
pixelpusher220 je rekao:Pitam se bi li napajanje LED-a preko male baterije ublažilo ovaj određeni bočni kanal. Svakako dodatni trošak/složenost, ali možda bi to dovoljno izoliralo?
Kliknite za proširenje...
Vjerojatno bi, ali s druge strane, vrlo je jednostavno jednostavno ne imaju LED za napajanje koji pokazuje potrošnju energije, a zakrpa za već postojeći potencijalno ranjivi uređaj je osvježavajuće niskotehnološki komad neprozirne trake preko LED-a.
Također mislim da je praktičnost napada značajno ograničena ovim dijelom:
Možda propuštam neke uobičajene slučajeve upotrebe, ali mislim da je prilično rijetko da uređaji izvode istu kriptografsku operaciju s istim ključem više i više sat vremena.Video mora biti snimljen 65 minuta, tijekom kojih čitatelj mora neprestano izvoditi operaciju.
Kliknite za proširenje...
100% ovo. Kad sam kod prethodnog poslodavca kupovao čipove pametnih kartica, kupovali smo samo modele koji su bili otporni na diferencijalnu snagu analiza, vremenski napadi, glitch napadi, napadi umetanjem grešaka i razne druge vrste napada i diferencijalnih kriptoanaliza. Bili su to prilično vrhunski čipovi. Pretpostavljam da bi čipovi korišteni u ovim napadima mogli biti na nižoj razini dostupnih procesora pametnih kartica i ne sadrže cijeli paket sigurnosnih značajki.Dmitrij je rekao:Mislim da je veliki problem s pametnom karticom to što je pametna kartica dovoljno usrana da joj ključ curi zbog potrošnje energije.Nije čak ni da je to novi problem, kripto bi trebao biti dizajniran da oduzima jednako vrijeme i koristi jednaku količinu energije bez obzira na to koliko se bitova podudara. tj. uopće ne bi trebalo preskakati nikakve evaluacije; ako će izvesti logički OR od 1 i nepoznate, trebao bi izračunati tu nepoznatu (umjesto da je preskoči kao obično).
Čitav razlog za posjedovanje pametne kartice na prvom mjestu je taj što ključ sigurno stoji na pametnoj kartici i čitač ga ne može klonirati bez rastavljanja kartice.
To što to možete učiniti pomoću LED-a na čitaču (umjesto da napravite čitač s instrumentima) ipak je impresivan napredak.
Kliknite za proširenje...
Također, odgovarajuća gornja granica za filtriranje svjetline LED-a je bliža dva centa; ne pedeset centi.
Uređaj ipak ima isti privatni ključ, zar ne?Mr Walrus je rekao:Vjerojatno bi, ali s druge strane, vrlo je jednostavno jednostavno ne imaju LED za napajanje koji pokazuje potrošnju energije, a zakrpa za već postojeći potencijalno ranjivi uređaj je osvježavajuće niskotehnološki komad neprozirne trake preko LED-a.Također mislim da je praktičnost napada značajno ograničena ovim dijelom:
Možda propuštam neke uobičajene slučajeve upotrebe, ali mislim da je prilično rijetko da uređaji izvode istu kriptografsku operaciju s istim ključem više i više sat vremena.
Kliknite za proširenje...
Također u vezi s LED pokrovom, pametna kartica ne bi trebala propuštati podatke kroz potrošnju energije, za početak. Čak i ako pokrijete LED diodu, još uvijek postoji drugo curenje kao npr. magnetostrikcijski šum, da ne spominjemo elektromagnetsko zračenje iz strujnih žica.
To je kao da imate bravu i Houdini je obija bravu dok visi naglavačke i nožnim prstima drži kvačicu. Politika bez cipela i usluga promašila bi bit...
"povećanje uzorkovanja brzine uzorkovanja"... je li to kao "povećanje"?
Može biti izluđujuće teško izgraditi opremu koja ne emitira neku vrstu energije koja je u korelaciji s podacima koje bi vlasnik želio zadržati privatnima. Kao što audio hobisti znaju, mikrofoni s vakuumskom cijevi mogu pokvariti njihovu potragu za nepatvorenom reprodukcijom. Druge komponente, čak i ožičenje, mogu djelovati kao kondenzatorski mikrofoni za hvatanje zvukova. Imao sam iskustva radeći u elektrofiziološkom laboratoriju snimajući s elektroda na tjemenu pokretnih subjekata. Spriječava kabelsku mikrofoniju da hvata zvukove iz okoline i da ih preklapa s EEG snimkama pokazalo se prilično zanimljivim problemom za rješavanje: koaksijalni kabeli impregnirani grafitom, aktivno pokretani štitovi, itd.
Ili samo onemogućite LED tijekom izračuna.Therblig je rekao:Skoro. Htjeli biste kondenzator preko LED-a, i otpornik u seriji s LED-om i kondenzatorom. Impedancija tračnice za napajanje tako niska da dodatni kondenzator čini beskorisnim. Otpornik povećava efektivnu impedanciju izvora napajanja i tako donekle izolira LED. To bi vjerojatno izgladilo valni oblik dovoljno da uništi informacijsku vrijednost ako je R-C vremenska konstanta bila, recimo, jedna sekunda. Kašnjenje od ~ jedne sekunde ne bi trebalo predstavljati problem za predviđenu funkciju LED-a napajanja.Još jeftinije i jednostavnije, uklonite LED. Status napajanja dokazuje radi li uređaj svoj posao ili ne.
Kliknite za proširenje...
-UREDI-
Postoji i neka procesna buka koju možete dodati izračunavanjem slučajnih ključeva u kombinaciji sa stvarnim ključem.
Ovo je slijed nekoliko nedostataka. Prvi i vrlo ozbiljan nedostatak je da kriptografska implementacija troši različitu količinu energije ovisno o tome koje su vrijednosti bita (npr. uzimajući različitu količinu vremena dok se ne završi s proračunom i pokrene čekati).Rootstown je rekao:Može biti izluđujuće teško izgraditi opremu koja ne emitira neku vrstu energije koja je u korelaciji s podacima koje bi vlasnik želio zadržati privatnima. Kao što audio hobisti znaju, mikrofoni s vakuumskom cijevi mogu pokvariti njihovu potragu za nepatvorenom reprodukcijom. Druge komponente, čak i ožičenje, mogu djelovati kao kondenzatorski mikrofoni za hvatanje zvukova. Imao sam iskustva radeći u elektrofiziološkom laboratoriju snimajući s elektroda na tjemenu pokretnih subjekata. Spriječava kabelsku mikrofoniju da hvata zvukove iz okoline i da ih preklapa s EEG snimkama pokazalo se prilično zanimljivim problemom za rješavanje: koaksijalni kabeli impregnirani grafitom, aktivno pokretani štitovi, itd.
Kliknite za proširenje...
Mislim da je to uvelike posljedica načina na koji su napravljeni svi dizajnerski alati i prakse ne za kriptografiju. Elementarni primjer ovoga je izračunavanje a() || b() (gdje je || logički ili) će preskočiti b() kada je a() istinito i stoga je rezultat istinit bez obzira na vrijednost b(). Dakle, iz ovog koda obilno curi vrijednost a() (kao vrijeme, energija, stanje predmemorije itd. itd.).
Dakle, instrumentirani čitač pametne kartice (koji može biti jednostavan poput spajanja analognog ulaznog pina da osjeti napon na dalekovodu) tada može izvući ključ iz pametne kartice. Pametna kartica bi trebala ne kompromitirani čitač može klonirati.
Da će neinstrumentirani čitač ispuštati potrošnju energije (bilo kroz LED, kroz magnetostrikcijske zvukove, kroz piezoelektrični učinak u keramičkim kondenzatorima, kroz elektromagnetske emisije itd. itd.), gotovo je neizbježan. Nikad nije dizajniran da pokuša prikriti potrošnju energije kartice.
edit: u osnovi, "konj je već napustio staju" kada je ključ iscurio u električni vod pomoću čipa unutar pametne kartice.
LED svjetlina je zamjena za potrošnju energije čipa pametne kartice. Koristeći video kameru za uzorkovanje svjetline LED-a, a time i potrošnje energije čipa, oni mogu zaključiti vrijeme ECDSA operacija. S vremenskim informacijama iz nekoliko tisuća ECDSA operacija u ruci, tada su u mogućnosti izvesti Minerva kriptoanalizu kako bi izvukli ključeve iz čipa.door_nail je rekao:Ne pratim kako idete od pažljivog promatranja potrošnje energije do poznavanja stvarnog ključa. Je li to negdje objašnjeno što sam propustio?[uređeno radi jasnoće]
Kliknite za proširenje...
Uredi. Ili napad Hertzbleeda. To je moj zaključak nakon brzog čitanja novina.
Uredi, uredi: Novost u ovom napadu je korištenje usrane sigurnosne kamere za uzorkovanje LED svjetline.
I možemo li, molim vas, molim vas, prestati koristiti glupa PR imena koja ljudi smišljaju za ove vektore napada? Barem ova grupa nije stvorila novo ime za ovo poput "LEDeath" ili tako nešto.
Daljnja ilustracija zašto proizvođači moraju imati način da ugase statusna svjetla koja se ovih dana pojavljuju na svakom uređaju. Trebam li noću crveni LED koji me podsjeća da moj televizor ima struju?
Naprotiv, ne mislim da ovaj uopće zahtijeva ikakvo pametno predviđanje. Već je poznato da kripto procesor na pametnoj kartici ne bi smio dopustiti napadaču da deducira ključ nadzorom napajanja (čak ni kada koristi namjenski hardver).IncorrigibleTroll je rekao:Veći zaključak za mene je koliko je prokleto teško predvidjeti i objasniti neke od ovih stvarno pametnih napada sporednih kanala. Kriptografija je golemo polje grabulja i nožnih pušaka.
Kliknite za proširenje...
To da netko može obijati bravu koristeći nožne prste dok s povezom na očima visi naopako, izuzetno je impresivno i nije nešto što dizajner brave mora predvidjeti; nije kao da bi ikad bilo lakše obijati bravu nožnim prstima.
edit: ili, možda bolja analogija, netko izabere kombinaciju sigurnih dok nosi industrijske čepiće za uši, umjesto da koristi stetoskop za slušanje klikova, kao što je tradicionalno.
A ovo ilustrira najveće ograničenje istraživačeva pristupa: koristiti sve različite vremenskih prozora senzora, LED za napajanje mora ispuniti okvir snimljenog videa od vrha do dno. To znači da kamera mora biti izuzetno blizu LED-u ili imati vrlo dugačku telefoto leću koja se može precizno usmjeriti prema LED-u i snažno defokusirati. Istraživači su koristili sigurnosnu kameru s 25x zumom na udaljenosti od 16 metara. Isprobao sam 14x TV zoom objektiv (Fujinon H14x10 f=10-140 mm f/1.7) i mogao sam ispuniti okvir samo na pola metra, korištenjem punog zuma, najduljeg fokusa i najveće postavke otvora blende kako bi se povećala veličina defokusirane slike LED. Većina postavki kamere neće ponoviti ono što su istraživači postigli.
Dmitrij je rekao:Naprotiv, ne mislim da ovaj uopće zahtijeva ikakvo pametno predviđanje. Već je poznato da kripto procesor na pametnoj kartici ne bi smio dopustiti napadaču da deducira ključ nadzorom napajanja (čak ni kada koristi namjenski hardver).To da netko može obijati bravu koristeći nožne prste dok s povezom na očima visi naopako, izuzetno je impresivno i nije nešto što dizajner brave mora predvidjeti; nije kao da bi ikad bilo lakše obijati bravu nožnim prstima.
Kliknite za proširenje...
Pošteno, iako ne bi trebalo čuditi da će neki (mnogi?) proizvođači i dalje zeznuti stvar, bilo zbog smanjenja troškova, neznanja ili bilo kojeg drugog razloga. Neka vrsta neovisne skupine za testiranje i certifikaciju u stilu UL-a s fokusom na sigurnosne i kriptografske implementacije ne bi bila najgora stvar za industriju.
Sustavi koji ovise o tome da ljudi ne griješe sami su krhki sustavi.
IncorrigibleTroll je rekao:Prema tečaju kriptografskih primitiva koji sam pohađao prije nekoliko godina, = operator bio je još jedan veliki leaker koji je zagrizao više od nekoliko implementacija. Uspoređuje dva operanda po bitovima i vraća false čim naiđe na bit koji se ne podudara. S vrlo preciznim vremenskim mjerenjima, to će vam omogućiti brutalnu silu ključa određivanjem koliko početka ključa kandidata je točan kroz količinu vremena izvršenja prije a odbijanje.
Kliknite za proširenje...
Način da se to zaobiđe je korištenje bajta akumulatora za pohranu xor svake usporedbe bajtova;
rezultat = 0;
za (x=0; x < k1.duljina; x++) rezultat |= k1[x] ^ k2[x];
vrati rezultat == 0;
Cijela ideja s pametnim karticama je da se privatni ključ nalazi na kartici i ne može se dobiti od karticu bez fizičkog rastavljanja kartice i guranja žica u sam čip (prilično teško operacija).ShortOrder je rekao:Kao Trenutno Izvođač iz Ministarstva obrane naredio je da prestanemo koristiti nekoliko marki (možda sve kineske) CAC čitača prije nekoliko godina (bilo je prije covida). Također su uklonili sve upravljačke programe za te CAC čitače sa svih vladinih računala.
Kliknite za proširenje...
U osnovi cijela poanta pametnih kartica je da čitač ne mora biti siguran (i npr. špijun koji uzme pametnu karticu i stavi je u svoj uređaj za čitanje špijunskih kartica, ne bi mogli klonirati pametnu karticu i ne bi mogli vratiti originalnu pametnu karticu na njezino mjesto, a opet imati svoju kloniranu pametnu karticu za korištenje na svom slobodno vrijeme).
Ludo koliko te kartice nisu ispunile taj zahtjev.
Drugi veliki je da tijekom modularnog potenciranja radite modularno množenje za bit '1' u eksponentu i ne radite ništa za bit '0' u eksponentu. Zbog toga su eksponenti poput 0x10001 popularni javni eksponenti za RSA.IncorrigibleTroll je rekao:Prema tečaju kriptografskih primitiva koji sam pohađao prije nekoliko godina, = operator bio je još jedan veliki leaker koji je zagrizao više od nekoliko implementacija. Uspoređuje dva operanda po bitovima i vraća false čim naiđe na bit koji se ne podudara. S vrlo preciznim vremenskim mjerenjima, to će vam omogućiti brutalnu silu ključa određivanjem koliko početka ključa kandidata je točan kroz količinu vremena izvršenja prije a odbijanje.
Kliknite za proširenje...
Međutim, kako biste spriječili vremenski napad na privatni eksponent, želite izvršiti modularno množenje čak i ako je bit 0, ali zatim odbaciti rezultat. Ali ne želite jednostavno baciti rezultat jer će to potrošiti manje energije nego pohranjivanje rezultata. Dakle, želite pohraniti rezultat koji nećete koristiti baš kao što ste pohranili rezultat koji koristite kada je bit 1.
Da, istina je da biste, iako bi idealno trebali uspoređivati usoljeni hash zaporke koju je dao korisnik, s usoljeni hash pohranjen u bazi podataka, a usporedba bi se idealno trebala dogoditi na 64-bitnim blokovima (sa 64-bitnim CPU).IncorrigibleTroll je rekao:Prema tečaju kriptografskih primitiva koji sam pohađao prije nekoliko godina, = operator bio je još jedan veliki leaker koji je zagrizao više od nekoliko implementacija. Uspoređuje dva operanda po bitovima i vraća false čim naiđe na bit koji se ne podudara. S vrlo preciznim vremenskim mjerenjima, to će vam omogućiti brutalnu silu ključa određivanjem koliko početka ključa kandidata je točan kroz količinu vremena izvršenja prije a odbijanje.
Kliknite za proširenje...
Ako se raspršene vrijednosti uspoređuju, i dalje biste morali pronaći koliziju raspršivanja, čak i ako znate koliko ste bitova dobili u pravu.
U slučaju pametne kartice, ja razumijem, pametna kartica izvodi digitalni potpis - potpisuje ulazne podatke pomoću pohranjenog tajnog ključa. Dakle, nekako cure informacije o tom ključu, što se mora dogoditi kada se radi matematika na ključu (tj. neke vrijednosti računaju brže od drugih ili na drugi način troše manje energije).
Pretpostavljam da se radi o jeftinom čipu niske potrošnje, pa vjerojatno postoji svaki pojedinačni trik za uštedu energije knjiga se radi i na razini elektronike i na razini softvera (i uzrokuje curenje ključ).
No, nije tamo samo u slučaju da ste zaboravili. Tamo je jer bi neki glupi visoki postotak njihovih poziva i povratnih poziva za podršku bio od morona koji nisu shvatili da nije uključen.Emon je rekao:BOK JA SAM TEHNOLOŠKI UREĐAJ POSTOJIM U TVOJOJ DNEVNOJ BORAVI BOK JESI LI ZNAO DA JA SAM OVDJE ZA SLUČAJ DA SI ZABORAVIO MOJU INDIKATOR NAPAJANJA JE I NOĆNO SVJETLO JER SU MOJI DIZAJNERI ZAPELI U 2004. GODINI KADA SU SUPER SVIJETLE LED diode postale jeftinije
Kliknite za proširenje...
Trenutak kada prijeđete s pokušaja pridobijanja privlačnosti za svoj proizvod na upravljanje uspjehom svog proizvoda postaje apsurdan količina vašeg truda odlazi na to da idiote natjerate da si pomognu prije nego što potroše vaše dragocjene trenutke život.
Uvijek je bolje znati nego ne znati. Asimetrija napora, složeni napad s bočnog kanala u odnosu na komad trake, ne ide u prilog napadačima osim ako nitko ne zna da je to moguće. Možda sam pomalo ciničan, ali očekujem da je bilo koji od vrhunskih državnih aktera već znao i uložio godine i milijune u pokušaj operacionalizacije ovu vrstu napada mnogo prije nego što su ovi istraživači stigli na zabavu, ali sada su svi ti milijuni potencijalno uzalud izgubljeni jer su ljudi marljivi s malo traka.ccurtsinger je rekao:Shvaćam da sigurnost kroz opskurnost uopće nije sigurnost, ali u nekom trenutku ne pomažu li istraživači ovdje samo neprijatelju? Barem ovaj bočni kanal ima laku obranu (ljepljiva traka), ali kada istraživači kreiraju pametne nove napade ponekad samo stvaraju alate za loše aktere koji iskorištavaju ranjivost koja još nije korištena u divljina.I možemo li, molim vas, molim vas, prestati koristiti glupa PR imena koja ljudi smišljaju za ove vektore napada? Barem ova grupa nije stvorila novo ime za ovo poput "LEDeath" ili tako nešto.
Kliknite za proširenje...
Također je vrijedno istaknuti da su istraživači općenito mnogo oprezniji u slučajevima kada je ranjivost lako operativna. Ovaj je izvediv, ali ga je teško implementirati od nule i vrlo ga je teško operacionalizirati, tako da vjerojatnost da će čak i sofisticirana organizacija/pojedinac pročitati rad i implementirati ga u nekoliko tjedana je nizak.
Kao čovjek, dok sam koristio prsten dekodera, nisam primijetio da je određenim slovima u određenim kombinacijama potrebno više vremena za kodiranje nego drugim slovima ili kombinacijama.
Na neki način sam razumio hakove na računalu gdje se sustavu mogu uvijek iznova unositi vrijednosti i nadzirati proces. Ali ne razumijem zašto bi mi korišteno vrijeme+snaga govorilo o specifičnom sadržaju šifrirane datoteke. Veličina ili složenost šifriranja, naravno... ali sadržaj?
Pretpostavljam da ću popiti aspirin i ponovno pročitati članak.
Ispričavam se, ako ovo ispadne podsmješljivo ili pametno@$$-insko. Moje pitanje/komentar inspiriran je podešavanjem hardvera koje sam izvršio na svom prijenosnom i stolnom računalu. Zalijepio sam flaster preko leće ugrađene web kamere na obje i ne smeta mi taj poseban upad. Ne bi li se moglo učiniti nešto slično u ovom slučaju? Je li LED za napajanje potreban za svakodnevnu upotrebu? Može li se postaviti iza ploče za održavanje kako bi tehničar koji ga treba vidjeti mogao pristupiti, ali ga ostatak svijeta može ignorirati?
Kodovi se prenose vrlo, vrlo brzo. LED ne može tako brzo reagirati na male promjene napona.