Image
4.2.2014 0 Comments

Experti predviedli akustický hacking – dešifrovali 4096-bitové kľúče RSA zo zvukov CPU

Bezpečnostní výskumníci prelomili jeden z najbezpečnejších šifrovacích algoritmov, 4096-bitové RSA, odpočúvaním počítača dešifrujúceho šifrované dáta cez mikrofón. Útok je pomerne jednoduchý a možno ho vykonať základným hardvérom. Následky pre priemerného používateľa sú minimálne, no ak ide o pokročilého používateľa a počítač so šifrovanými vysoko citlivými dátami, môže ísť o nebezpečný útok.

Tím vedcov z Weizmannovho inštitútu vied a izraelskej univerzity v Tel Avive pod vedením Daniela Genkina, Adi Shamira a Erana Tromera použil útok, ktorý sa nazýva bočný kanál (side channel). Ide o nepriamy a nekonvenčný útok, ktorý sa v podstate nedá zistiť.

Tím Adi Shamira už v roku 2004 predviedol, že rozdielne kľúče RSA spôsobujú pri práci procesora odlišné zvuky. Akustický signál vlastne generuje regulátor napätia na CPU, keď sa snaží udržať konštantné napätie počas veľmi rôznorodého a nárazového zaťaženia. No až doteraz nebolo jasné, ako by sa to dalo zneužiť v praxi. Teraz však vedci dokázali, že odpočúvanie týchto zvukov môže dávať praktický zmysel.

Výskumníci sa zamerali na konkrétnu implementáciu 1.x kryptografického systému RSA GnuPG (open/free verzia PGP). Boli schopní odpočúvať neklamné známky toho, že procesor dešifruje niektoré údaje, a potom na základe prúdu týchto zvukov odvodiť dešifrovací kľúč.

acoustic_cryptanalysis_cpu.png

Vedci úspešne extrahovali dešifrovací kľúč zo vzdialenosti 4 metrov pomocou vysokokvalitného parabolického mikrofónu. No zaujímavé je, že sa im to podarilo aj pomocou smartfónu umiestneného vo vzdialenosti 30 cm od cieľového noteooku. Výskumníci vykonali útok na rôzne druhy notebookov a stolových počítačov s rôznou mierou úspechu.

acoustic_cryptanalysis_laptop.jpg

Rovnaký druh informácií však možno zachytiť aj dotykom. Experti demonštrovali, že z mnohých počítačov možno odchytávať informácie aj prostredníctvom zmien elektrického potenciálu na tele notebooku či stolového počítača. Útočníkovi by stačilo dotknúť sa notebooku či skrinky počítača rukou a informácie získať meraním rozdielu elektrického potenciálu medzi jeho vlastným telom a okolitým prostredím. Použiť možno aj špeciálne upravené eternetové káble v rámci siete LAN či pripojovacie káble monitorov.

Útočník by mohol aj infikovať telefón obete malvérom zachytávajúcim zvuk jeho počítača v čase, keď je telefón umiestnený pri ňom. Ďalší možný spôsob je vytvoriť webovú stránku, ktorá aktivuje vstavaný mikrofón v notebooku návštevníka a zaznamená zvuky, ktorá vytvára.

Reálny dosah takéhoto útoku je prekvapivo nebezpečný. Predstavte si, že dešifrujete svoje súbory v knižnici, internetovej kaviarni či inom verejnom mieste a niekto by mohol získať dešifrovací kľúč len tým, že umiestni svoj smartfón v blízkosti vášho počítača.

Celý materiál z výskumu je k dispozícii na voľné stiahnutie.

Zdroj: extremetech.com


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Hacking kreditky za šesť sekúnd. Zločinci môžu bez problémov získať všetky údaje o platobnej karte

08.12.2016 00:13

Vedci z Newcastle University prišli na spôsob, ako môžu zločinci za menej ako 6 sekúnd zistiť číslo, dátum platnosti a bezpečnostný kód na kreditnej alebo debetnej karte Visa. Je to vraj „nebezpečne ľ ...

Bezpečnosť

Čísla kreditiek už nelákajú. Kyberzločinci sa zameriavajú na lekárske záznamy, čísla sociálneho zabezpečenia a útoky DDoS.

07.12.2016 00:12

V dnešnej modernej a čoraz viac prepojenej dobe sú dáta používateľov, korporácií či štátnych inštitúcií pod neustále rastúcim tlakom. Tieto dáta predstavujú poklad v rukách kyberkriminálnikov a  trend ...

Bezpečnosť 2

Ovplyvnilo Rusko americké prezidentské voľby? Podľa expertov boli niektoré hlasovacie prístroje infikované

06.12.2016 00:16

Podľa kyberbezpečnostnej firmy FireEye ruská vláda počas kampane pred americkými prezidentskými voľbami nielen vykonávala hackerské útoky, ale využívala aj sociálne siete na ovplyvňovanie názorov. Šír ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá