Image
4.2.2014 0 Comments

Experti predviedli akustický hacking – dešifrovali 4096-bitové kľúče RSA zo zvukov CPU

Bezpečnostní výskumníci prelomili jeden z najbezpečnejších šifrovacích algoritmov, 4096-bitové RSA, odpočúvaním počítača dešifrujúceho šifrované dáta cez mikrofón. Útok je pomerne jednoduchý a možno ho vykonať základným hardvérom. Následky pre priemerného používateľa sú minimálne, no ak ide o pokročilého používateľa a počítač so šifrovanými vysoko citlivými dátami, môže ísť o nebezpečný útok.

Tím vedcov z Weizmannovho inštitútu vied a izraelskej univerzity v Tel Avive pod vedením Daniela Genkina, Adi Shamira a Erana Tromera použil útok, ktorý sa nazýva bočný kanál (side channel). Ide o nepriamy a nekonvenčný útok, ktorý sa v podstate nedá zistiť.

Tím Adi Shamira už v roku 2004 predviedol, že rozdielne kľúče RSA spôsobujú pri práci procesora odlišné zvuky. Akustický signál vlastne generuje regulátor napätia na CPU, keď sa snaží udržať konštantné napätie počas veľmi rôznorodého a nárazového zaťaženia. No až doteraz nebolo jasné, ako by sa to dalo zneužiť v praxi. Teraz však vedci dokázali, že odpočúvanie týchto zvukov môže dávať praktický zmysel.

Výskumníci sa zamerali na konkrétnu implementáciu 1.x kryptografického systému RSA GnuPG (open/free verzia PGP). Boli schopní odpočúvať neklamné známky toho, že procesor dešifruje niektoré údaje, a potom na základe prúdu týchto zvukov odvodiť dešifrovací kľúč.

acoustic_cryptanalysis_cpu.png

Vedci úspešne extrahovali dešifrovací kľúč zo vzdialenosti 4 metrov pomocou vysokokvalitného parabolického mikrofónu. No zaujímavé je, že sa im to podarilo aj pomocou smartfónu umiestneného vo vzdialenosti 30 cm od cieľového noteooku. Výskumníci vykonali útok na rôzne druhy notebookov a stolových počítačov s rôznou mierou úspechu.

acoustic_cryptanalysis_laptop.jpg

Rovnaký druh informácií však možno zachytiť aj dotykom. Experti demonštrovali, že z mnohých počítačov možno odchytávať informácie aj prostredníctvom zmien elektrického potenciálu na tele notebooku či stolového počítača. Útočníkovi by stačilo dotknúť sa notebooku či skrinky počítača rukou a informácie získať meraním rozdielu elektrického potenciálu medzi jeho vlastným telom a okolitým prostredím. Použiť možno aj špeciálne upravené eternetové káble v rámci siete LAN či pripojovacie káble monitorov.

Útočník by mohol aj infikovať telefón obete malvérom zachytávajúcim zvuk jeho počítača v čase, keď je telefón umiestnený pri ňom. Ďalší možný spôsob je vytvoriť webovú stránku, ktorá aktivuje vstavaný mikrofón v notebooku návštevníka a zaznamená zvuky, ktorá vytvára.

Reálny dosah takéhoto útoku je prekvapivo nebezpečný. Predstavte si, že dešifrujete svoje súbory v knižnici, internetovej kaviarni či inom verejnom mieste a niekto by mohol získať dešifrovací kľúč len tým, že umiestni svoj smartfón v blízkosti vášho počítača.

Celý materiál z výskumu je k dispozícii na voľné stiahnutie.

Zdroj: extremetech.com


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Čo nás čaká v bezpečnosti v roku 2017?

19.01.2017 00:15

Tak ako postupuje svet technológií míľovými krokmi dopredu, objavujú sa nové výzvy a problémy v oblasti bezpečnosti. Okrem novej legislatívy, ako je GDPR (General Data Protection Regulation, regulácia ...

Bezpečnosť

Návrat k faxom? Sedem hlavných bezpečnostných trendov na rok 2017

17.01.2017 00:10

Podľa spoločnosti GFI Software budú v oblasti podnikovej IT bezpečnosti v roku 2017 pokračovať trendy minulého roka, ktorý môžeme v mnohých ohľadoch považovať za prelomový. Prudký nárast ransomvéru, k ...

Bezpečnosť

6 trendov najbližších rokov. Umelá inteligencia odhaľuje hackerov, fog computing a kolaborácia v cloude

13.01.2017 00:18

Rok 2016 jednoznačne potvrdil, že súčasný svet sa mení a digitalizácia sa dostáva do všetkých oblastí nášho života. Napríklad rozšírená realita umožnila milovníkom Pokémonov nachytať si svoje obľúbené ...

Žiadne komentáre

Vyhľadávanie

qubitconference

Najnovšie videá