Хакеры могут украсть криптографические ключи с помощью видеозаписи светодиодов питания на расстоянии 60 футов.

Оказывается, бабушка не только использовала ленту, чтобы заблокировать мигание 12:00 на своем видеомагнитофоне, но и блокировала криптографические атаки по побочным каналам! Кто знал?

Джефф С сказал:

Или, может быть, у вас есть схема, которая просто обеспечивает минимальное/максимальное время работы. То есть, например, в каждую десятую долю секунды, в течение которой к карте вообще осуществляется доступ, индикатор загорается на целую 1/10 секунды - так что, если карта считывая 128-битный ключ, он, вероятно, считывает все 128 бит менее чем за 1/10 секунды, поэтому свет будет гореть целую 1/10 секунды, а затем Заткнись. Это сохраняет идею мониторинга доступа к устройству, но не мигает светодиодом отдельными битами.

Нажмите, чтобы развернуть...
Светодиод не «мигает отдельными битами». Это только что началось. Проблема в том, что при его включении колебания энергопотребления процессора вызывают небольшие колебания в напряжении питания, что приводит к небольшим колебаниям яркости, вот в чем эта атака рычаги воздействия. Или, если использовать светодиод RGB, атака использует изменение цвета из-за того, что красный светодиод имеет более низкое прямое напряжение, чем зеленый или синие светодиоды, а это значит, что при данном изменении напряжения питания яркость красного светодиода меняется на меньшую величину, чем синего и зеленый.

Мигание светодиода будет означать, что вы теряете информацию о питании только тогда, когда светодиод включен, так что это будет смягчение последствий — это будет означать, что злоумышленнику потребуется несколько проходов, чтобы захватить весь процесс, — но это не устранит проблема.

Я считаю, что в случае со смарт-картой большая проблема заключается в том, что смарт-карта настолько дерьмовая, что может привести к утечке ключа из-за энергопотребления.

Однако то, что вы можете сделать это с помощью светодиода на считывателе (вместо того, чтобы делать приборный считыватель), является впечатляющим достижением. Это все равно, что взломать замок из-за угла, удерживая отмычку палкой для захвата мусора.

Это даже не новая проблема: криптография должна быть спроектирована так, чтобы занимать одинаковое время и использовать одинаковое количество энергии, независимо от того, сколько бит совпадает. Т.е. он вообще не должен пропускать какие-либо оценки; если он собирается выполнить логическое ИЛИ 1 и неизвестное, он должен вычислить это неизвестное (вместо того, чтобы пропускать его, как обычно).

Основная причина использования смарт-карты заключается в том, что ключ надежно хранится на смарт-карте, и считыватель не может его клонировать, не разобрав карту.

редактировать: Вот аппаратная идея для смарт-карт (не идеальная, скорее обходной путь). Используйте шунтирующий стабилизатор (чтобы он потреблял постоянный ток независимо от мощности, потребляемой крипточипом) или последовательность из нескольких шунтирующих регуляторов, экранируйте электронику, включая регулятор. Шунтирующий стабилизатор можно сконструировать так, чтобы изменения потребляемого тока были настолько ниже теплового шума, что вы не могли получить никаких данных за заданный промежуток времени.

edit2: регулятор будет находиться на самой смарт-карте. Шунтирующие регуляторы используются редко, потому что они, конечно, неэффективны с точки зрения энергии.

Pixelpusher220 сказал:

Интересно, уменьшит ли питание светодиода от небольшой батареи этот конкретный побочный канал. Конечно, дополнительные расходы/сложность, но, возможно, это достаточно изолирует его?

Нажмите, чтобы развернуть...

Вероятно, так и было бы, но с другой стороны, очень легко просто нет иметь светодиод питания, который показывает энергопотребление, а патч для уже существующего потенциально уязвимого устройства представляет собой низкотехнологичный кусок непрозрачной ленты поверх светодиода.

Я также думаю, что практичность атаки существенно ограничена этим моментом:

Видео должно быть снято на 65 минут, в течение которых читатель должен постоянно выполнять операцию.

Нажмите, чтобы развернуть...
Возможно, мне не хватает некоторых распространенных случаев использования, но я думаю, что устройства довольно редко выполняют одну и ту же криптографическую операцию с одним и тем же ключом снова и снова в течение часа.
Дмитрий сказал:
Я считаю, что в случае со смарт-картой большая проблема заключается в том, что смарт-карта настолько дерьмовая, что может привести к утечке ключа из-за энергопотребления.

Это даже не новая проблема: криптография должна быть спроектирована так, чтобы занимать одинаковое время и использовать одинаковое количество энергии, независимо от того, сколько бит совпадает. Т.е. он вообще не должен пропускать какие-либо оценки; если он собирается выполнить логическое ИЛИ 1 и неизвестное, он должен вычислить это неизвестное (вместо того, чтобы пропускать его, как обычно).

Основная причина использования смарт-карты заключается в том, что ключ надежно хранится на смарт-карте, и считыватель не может его клонировать, не разобрав карту.

Однако то, что вы можете сделать это с помощью светодиода на считывателе (вместо того, чтобы делать приборный считыватель), является впечатляющим достижением.

Нажмите, чтобы развернуть...
100% это. Когда я покупал чипы смарт-карт у предыдущего работодателя, мы покупали только модели, устойчивые к дифференциальному питанию. анализ, атаки по времени, атаки сбоев, атаки с внедрением ошибок и различные другие типы атак и дифференциальные атаки. криптоанализ. Это были чипы довольно высокого класса. Я подозреваю, что чипы, использованные в этих атаках, могут находиться на нижнем уровне доступных процессоров смарт-карт и не содержать полного набора функций безопасности.

Кроме того, подходящая крышка для фильтрации яркости светодиода стоит ближе к двум центам; не пятьдесят центов.

MrWalrus сказал:
Вероятно, так и было бы, но с другой стороны, очень легко просто нет иметь светодиод питания, который показывает энергопотребление, а патч для уже существующего потенциально уязвимого устройства представляет собой низкотехнологичный кусок непрозрачной ленты поверх светодиода.

Я также думаю, что практичность атаки существенно ограничена этим моментом:

Возможно, мне не хватает некоторых распространенных случаев использования, но я думаю, что устройства довольно редко выполняют одну и ту же криптографическую операцию с одним и тем же ключом снова и снова в течение часа.

Нажмите, чтобы развернуть...
Однако устройство имеет тот же закрытый ключ, не так ли?

Кроме того, что касается светодиодного покрытия, смарт-карта изначально не должна терять данные из-за энергопотребления. Даже если вы закроете светодиод, все равно останутся другие утечки, например. магнитострикционные шумы, не говоря уже об электромагнитном излучении силовых проводов.

Это похоже на то, как будто у вас есть замок, и Гудини открывает его, вися вверх ногами и удерживая отмычку пальцами ног. Политика «нет обуви — нет обслуживания» упускает из виду суть…

"повышать частоту дискретизации"... это типа "увеличение"?

Может быть невероятно сложно создать оборудование, которое не излучает какой-либо тип энергии, связанный с данными, которые владелец предпочел бы сохранить в тайне. Как известно любителям звука, ламповый микрофон может испортить их стремление к чистому воспроизведению. Другие компоненты, даже проводка, могут действовать как конденсаторные микрофоны для улавливания звуков. У меня был опыт работы в электрофизиологической лаборатории, когда я делал записи с скальповых электродов движущихся объектов. Подавление кабельного микрофона от улавливания звуков окружающей среды и наложения их на записи ЭЭГ. оказалось довольно интересной задачей: пропитанные графитом коаксиальные кабели, активно приводимые в движение щиты и т. д.

Терблиг сказал:
Почти. Вам нужен конденсатор через светодиод, и резистор последовательно со светодиодом и конденсатором. Сопротивление линии питания настолько низкое, что дополнительный конденсатор становится бесполезным. Резистор увеличивает эффективное сопротивление источника питания и тем самым несколько изолирует светодиод. Это, вероятно, сгладило бы форму сигнала настолько, чтобы уничтожить ценность информации, если бы постоянная времени RC составляла, скажем, одну секунду. Задержка примерно в одну секунду не должна быть проблемой для предполагаемой функции индикатора питания.

Дешевле и проще отказаться от светодиода. О состоянии питания свидетельствует то, выполняет ли устройство свою работу или нет.

Нажмите, чтобы развернуть...
Или просто отключите светодиод во время вычислений.

-РЕДАКТИРОВАТЬ-
Существует также некоторый технологический шум, который вы можете добавить, вычислив случайные ключи вместе с реальным ключом.

Рутстаун сказал:

Может быть невероятно сложно создать оборудование, которое не излучает какой-либо тип энергии, связанный с данными, которые владелец предпочел бы сохранить в тайне. Как известно любителям звука, ламповый микрофон может испортить их стремление к чистому воспроизведению. Другие компоненты, даже проводка, могут действовать как конденсаторные микрофоны для улавливания звуков. У меня был опыт работы в электрофизиологической лаборатории, когда я делал записи с скальповых электродов движущихся объектов. Подавление кабельного микрофона от улавливания звуков окружающей среды и наложения их на записи ЭЭГ. оказалось довольно интересной задачей: пропитанные графитом коаксиальные кабели, активно приводимые в движение щиты и т. д.

Нажмите, чтобы развернуть...
Это последовательность нескольких недостатков. Первый и очень серьезный недостаток заключается в том, что криптографическая реализация потребляет разное количество энергии в зависимости от каковы значения битов (например, затрачивая разное количество времени, пока не будут завершены вычисления и не начнется ждать).

Я думаю, что это во многом является следствием того, как созданы все инструменты и методы проектирования. нет для криптографии. Элементарным примером этого является вычисление a() || b() (где || — логическое «или») пропустит b(), если a() истинно, и, таким образом, результат будет истинным независимо от значения b(). Таким образом, этот код обильно пропускает значение a() (как время, энергия, состояние кэша и т. д. и т. п.).

Таким образом, инструментальный считыватель смарт-карт (который может быть таким же простым, как подключение аналогового входного контакта для измерения напряжения в линии электропередачи) затем может извлечь ключ из смарт-карты. Смарт-карта должна нет быть клонированным скомпрометированным читателем.

Что у неинструментального считывателя будет утечка потребляемой мощности (будь то через светодиод, через звуки магнитострикции, за счет пьезоэлектрического эффекта в керамических конденсаторах, за счет электромагнитного излучения и т. д. и т. п.), почти неизбежный. Он никогда не предназначался для сокрытия энергопотребления карты.

редактировать: по сути, «лошадь уже покинула сарай», когда ключ попал в линию электропередачи из-за чипа внутри смарт-карты.

Door_nail сказал:
Я не слежу за тем, как вы переходите от тщательного наблюдения за энергопотреблением к знанию настоящего ключа. Это где-то объяснено, что я пропустил?

[отредактировано для ясности]

Нажмите, чтобы развернуть...
Яркость светодиода является показателем энергопотребления чипа смарт-карты. Используя видеокамеру для измерения яркости светодиода и, следовательно, энергопотребления чипа, они могут определить время операций ECDSA. Имея на руках информацию о времени нескольких тысяч операций ECDSA, они могут выполнить криптоанализ Minerva для извлечения ключей из чипа.

Редактировать. Или атака Герцбледа. Это мой вывод из очень быстрого прочтения статьи.

Редактировать, редактировать: Новизна в этой атаке заключается в использовании дрянной камеры наблюдения для измерения яркости светодиода.

Я понимаю, что безопасность через неизвестность — это вообще не безопасность, но разве исследователи в какой-то момент не помогают здесь врагу? По крайней мере, этот побочный канал имеет легкую защиту (изоленту), но когда исследователи создают новые умные атаки иногда они просто создают инструменты для злоумышленников, которые могут использовать уязвимости, которые еще не использовались в дикая природа.

И можем ли мы, пожалуйста, пожалуйста, перестать использовать глупые пиар-названия, которые люди придумывают для этих векторов атак? По крайней мере, эта группа не придумала для этого нового названия типа «LEDeath» или чего-то в этом роде.

Это еще раз иллюстрирует, почему производителям необходимо иметь возможность отключать индикаторы состояния, которые в наши дни есть на каждом устройстве. Действительно ли мне нужен красный светодиод ночью, напоминающий мне, что на мой телевизор подается питание?

Неисправимый Тролль сказал:

Для меня самым большим выводом является то, насколько чертовски сложно предвидеть и объяснить некоторые из этих действительно умных атак по сторонним каналам. Криптография — это обширное поле для граблей и грабли.

Нажмите, чтобы развернуть...
Напротив, я не думаю, что для этого вообще требовалось какое-то умное предвидение. Уже было известно, что криптопроцессор на смарт-карте не должен позволять злоумышленнику вывести ключ путем мониторинга мощности (даже при использовании выделенного оборудования).

То, что кто-то может взломать замок пальцами ног, вися с завязанными глазами, чрезвычайно впечатляет и на самом деле не является чем-то, чего должен ожидать разработчик замка; Вряд ли когда-либо было бы проще взломать замок пальцами ног.

редактировать: или, возможно, лучшая аналогия: кто-то выбирает комбинированный сейф, надев беруши промышленного класса, а не используя стетоскоп для прослушивания щелчков, как это традиционно.

Роликовый затвор — это не то, что вы активируете, он не ограничивается новыми камерами и не имеет ничего общего с покадровой фотографией. Роликовый затвор является ограничением почти всех цифровых датчиков изображения. Периоды экспозиции все позже и позже для каждой линии фотосайтов, прогрессируя сверху вниз синхронно с показаниями датчика. Это означает, что временное разрешение видео не ограничивается частотой кадров.

И это иллюстрирует самое большое ограничение подхода исследователей: использовать все различные временных окон датчика, светодиод питания должен заполнять кадр записываемого видео сверху вниз. нижний. Это означает, что камера должна располагаться очень близко к светодиоду или иметь очень длинный телеобъектив, который можно навести точно на светодиод и сильно расфокусировать. Исследователи использовали камеру видеонаблюдения с 25-кратным зумом на расстоянии 16 метров. Я попробовал телевизионный зум-объектив с 14-кратным увеличением (Fujinon H14x10 f=10-140 мм f/1,7), и мне удалось заполнить кадр только на полметра, используя полный зум, самую длинную фокусировку и самую большую диафрагму, чтобы максимизировать размер расфокусированного изображения ВЕЛ. Большинство настроек камер не смогут повторить результаты, достигнутые исследователями.

Дмитрий сказал:
Напротив, я не думаю, что для этого вообще требовалось какое-то умное предвидение. Уже было известно, что криптопроцессор на смарт-карте не должен позволять злоумышленнику вывести ключ путем мониторинга мощности (даже при использовании выделенного оборудования).

То, что кто-то может взломать замок пальцами ног, вися с завязанными глазами, чрезвычайно впечатляет и на самом деле не является чем-то, чего должен ожидать разработчик замка; Вряд ли когда-либо было бы проще взломать замок пальцами ног.

Нажмите, чтобы развернуть...

Достаточно справедливо, хотя неудивительно, что некоторые (многие?) производители все еще собираются облажаться, будь то из-за сокращения затрат, невежества или по ряду других причин. Некая независимая группа по тестированию и сертификации в стиле UL, специализирующаяся на реализации безопасности и криптографии, не была бы худшей вещью для отрасли.

Системы, которые зависят от того, чтобы люди не совершали ошибок, по своей сути являются хрупкими системами.

Неисправимый Тролль сказал:

Согласно курсу по примитивам криптографии, который я прослушал несколько лет назад, оператор = стал еще одним крупным источником информации, который затронул несколько реализаций. Он выполняет побитовое сравнение двух операндов и возвращает false, как только обнаруживает несовпадающий бит. Благодаря высокоточным измерениям времени это позволит вам подобрать ключ, определив, насколько начала потенциального ключа является правильным благодаря количеству времени выполнения до отказ.

Нажмите, чтобы развернуть...

Способ обойти эту проблему — использовать байт-аккумулятор для хранения xor каждого сравнения байтов;

результат = 0;
для (х=0; х < k1.длина; x++) результат |= k1[x] ^ k2[x];
вернуть результат == 0;

ShortOrder сказал:

Как текущий Подрядчику Министерства обороны они приказали нам прекратить использовать несколько брендов (возможно, все китайские) считывателей CAC пару лет назад (это было еще до пандемии). Они также удалили все драйверы для считывателей CAC со всех компьютеров, предоставленных правительством.

Нажмите, чтобы развернуть...
Вся идея смарт-карт заключается в том, что закрытый ключ находится на карте и не может быть получен карту без физического разбора карты и тыкания проводов в сам чип (достаточно сложная задача операция).

По сути, весь смысл смарт-карт заключается в том, что считыватель не должен быть безопасным (и, например, шпион, берущий смарт-карту и вставляющий ее в свой шпионский гаджет для чтения карт, не сможет клонировать смарт-карту и не сможет вернуть исходную смарт-карту на место и при этом иметь клонированную смарт-карту для использования на своем досуг).

Сумасшествие, насколько эти карты не соответствовали этому требованию.

Неисправимый Тролль сказал:

Согласно курсу по примитивам криптографии, который я прослушал несколько лет назад, оператор = стал еще одним крупным источником информации, который затронул несколько реализаций. Он выполняет побитовое сравнение двух операндов и возвращает false, как только обнаруживает несовпадающий бит. Благодаря высокоточным измерениям времени это позволит вам подобрать ключ, определив, насколько начала потенциального ключа является правильным благодаря количеству времени выполнения до отказ.

Нажмите, чтобы развернуть...
Еще один важный момент заключается в том, что во время модульного возведения в степень вы выполняете модульное умножение для бита «1» в экспоненте и ничего не делаете для бита «0» в экспоненте. Вот почему такие показатели, как 0x10001, являются популярными общедоступными показателями для RSA.

Однако, чтобы предотвратить временную атаку на частный показатель, вы хотите выполнить модульное умножение, даже если бит равен 0, но затем отбросить результат. Но вы не хотите просто выбрасывать результат, потому что это потребует меньше энергии, чем сохранение результата. Итак, вы хотите сохранить результат, который не будете использовать, точно так же, как вы сохраняли результат, который используете, когда бит равен 1.

Неисправимый Тролль сказал:

Согласно курсу по примитивам криптографии, который я прослушал несколько лет назад, оператор = стал еще одним крупным источником информации, который затронул несколько реализаций. Он выполняет побитовое сравнение двух операндов и возвращает false, как только обнаруживает несовпадающий бит. Благодаря высокоточным измерениям времени это позволит вам подобрать ключ, определив, насколько начала потенциального ключа является правильным благодаря количеству времени выполнения до отказ.

Нажмите, чтобы развернуть...
Да, правда, хотя в идеале вам следует сравнивать соленый хеш пароля, предоставленного пользователем, с соленый хеш, хранящийся в базе данных, и в идеале сравнение должно происходить на 64-битных блоках (с 64-битным ПРОЦЕССОР).

Если хешированные значения сравниваются, вам все равно придется найти коллизию хэшей, даже если вы знаете, сколько бит у вас правильное.

В случае смарт-карты я понимаю, что смарт-карта выполняет цифровую подпись - подписывает входные данные с использованием сохраненного секретного ключа. Таким образом, каким-то образом происходит утечка информации об этом ключе, что должно происходить при выполнении математических вычислений с ключом (т. е. некоторые значения вычисляются быстрее, чем другие, или иным образом потребляют меньше энергии).

Я предполагаю, что это недорогой чип с низким энергопотреблением, поэтому, вероятно, в нем есть все приемы энергосбережения. книга создается как на уровне электроники, так и на уровне программного обеспечения (что приводит к утечке информации). ключ).

Эмон сказал:

ПРИВЕТ, Я ТЕХНОЛОГИЧЕСКОЕ УСТРОЙСТВО, КОТОРОЕ Я СУЩЕСТВУЮ В ВАШЕЙ ГОСТИНОЙ. ПРИВЕТ, ЗНАЕТЕ ЛИ ВЫ, ЧТО Я ЗДЕСЬ, НА СЛУЧАЙ, ЕСЛИ ВЫ ЗАБЫЛИ МОЙ ИНДИКАТОР ПИТАНИЯ ИСПОЛЬЗУЕТ СВОЙ НОЧНИК, ПОТОМУ ЧТО МОИ ДИЗАЙНЕРЫ ЗАСТРЯЛИ В 2004 ГОДУ, КОГДА СУПЕР ЯРКИЕ СВЕТОДИОДЫ СТАЛИ ДЕШЕВЫМИ

Нажмите, чтобы развернуть...
Однако его там нет, на случай, если вы забыли. Он там потому, что какой-то глупо высокий процент их обращений в службу поддержки и ответов приходится на идиотов, которые не понимают, что он не подключен.

В тот момент, когда вы переходите от попыток добиться успеха для своего продукта к управлению успехом вашего продукта, это абсурдно. все ваши усилия направлены на то, чтобы заставить идиотов помочь себе, прежде чем они потратят драгоценные минуты вашего жизнь.

ccurtsinger сказал:
Я понимаю, что безопасность через неизвестность — это вообще не безопасность, но разве исследователи в какой-то момент не помогают здесь врагу? По крайней мере, этот побочный канал имеет легкую защиту (изоленту), но когда исследователи создают новые умные атаки иногда они просто создают инструменты для злоумышленников, которые могут использовать уязвимости, которые еще не использовались в дикая природа.

И можем ли мы, пожалуйста, пожалуйста, перестать использовать глупые пиар-названия, которые люди придумывают для этих векторов атак? По крайней мере, эта группа не придумала для этого нового названия типа «LEDeath» или чего-то в этом роде.

Нажмите, чтобы развернуть...
Всегда лучше знать, чем не знать. Асимметрия усилий, сложная атака по побочному каналу или кусок ленты, не благоприятствует злоумышленникам, если только никто не знает, что это возможно. Возможно, я немного циничен, но я ожидаю, что любой из высокопоставленных государственных деятелей уже знал об этом и вложил годы и миллионы в попытки ввести его в действие. этот тип атаки задолго до того, как эти исследователи добрались до вечеринки, но теперь все эти миллионы потенциально потрачены впустую из-за того, что люди усердно работали с небольшим количеством лента.

Также стоит отметить, что в случаях, когда уязвимость легко реализовать, исследователи, как правило, гораздо более осмотрительны. Это выполнимо, но его сложно реализовать с нуля и очень-очень сложно ввести в эксплуатацию, поэтому вероятность того, что даже опытная организация/человек прочитает статью и применит ее за несколько недели - это мало.

Мне нужно узнать больше о том, почему время хеширования зависит от значений ключей.

Будучи человеком, когда я использовал кольцо-декодер, я не заметил, что кодирование определенных букв в определенных комбинациях занимает больше времени, чем другие буквы или комбинации.

Я вроде как понимал хаки на ПК, когда в систему можно было снова и снова вводить значения и контролировать процесс. Но я не понимаю, почему использованное время+мощность может сказать мне конкретное содержимое зашифрованного файла. Размер или сложность шифрования, конечно... но содержание?

Думаю, я приму аспирин и еще раз прочитаю статью.

Если это покажется язвительным или умным, приношу извинения, это не так. Мой вопрос/комментарий основан на аппаратной настройке, которую я выполнил на своем ноутбуке и настольном компьютере. Я наклеил пластырь на объектив встроенной веб-камеры на обеих камерах, и это конкретное вторжение меня не беспокоит. Нельзя ли сделать что-то подобное в данном случае? Нужен ли индикатор питания для повседневного использования? Можно ли разместить его за панелью обслуживания, чтобы технический специалист, которому нужно его видеть, мог получить к нему доступ, а остальной мир мог его игнорировать?

Я очень сомневаюсь.

Коды передаются очень и очень быстро. Светодиод не может так быстро реагировать на малейшие изменения напряжения.

Последнее сообщение в блоге

Европейский закон о замене батарей.
October 12, 2023

Мои колеса стоят дороже, чем новый iPhone Pro, я съежился, наблюдая, как он прикасается ломом к колесу Люди также покупают разные чехлы, будь то и...

Европейский закон о замене батарей.
October 12, 2023

Мои колеса стоят дороже, чем новый iPhone Pro, я съежился, наблюдая, как он прикасается ломом к колесу Люди также покупают разные чехлы, будь то и...

Европейский закон о замене батарей.
October 09, 2023

Шавано сказал: К сожалению, окончательный вариант еще не опубликован. Но я ожидаю, что оно будет включать в себя требование к производителям публик...