従来の暗号の攻撃法では、既知平文攻撃や選択暗号文攻撃などのように、平文や暗号文にはアクセスできるが、暗号処理はブラックボックスで行うものとして、処理中のデータには一切アクセスできないことを前提としていた。
しかし、暗号機能付きのICカードなどのように攻撃者が処理時間や消費電力を精密に測定できる場合には、平文や暗号文だけではなく、これらの情報チャネルから漏洩する情報も考慮することが必要である。
実際、GSMカードの中には、動作中の消費電力を測定することで秘密鍵を特定できるものがあることが指摘されている([RRST02])。
サイドチャネル攻撃(サイドチャネルこうげき、side-channel attack)とは、暗号装置の動作状況を様々な物理的手段で観察することにより、装置内部のセンシティブな情報を取得しようとする攻撃方法である。
Comments [0]
1996年にPaul Kocher氏によって考案されたサイド・チャネル攻撃の一種。暗号化処理もしくは復号処理を実行するのに必要な時間を測定することで,用いられた鍵を推測する攻撃方法。当初は,処理時間の差が現れやすい多倍長整数の累乗計算を用いるRSAやDHなどの公開鍵暗号アルゴリズムに対する攻撃法として考案された。しかし,現在では共通鍵暗号方式でもこの攻撃に対する耐性が求められる傾向にある。
Comments [0]
Well crap. Now what?
Instead of using a variable-time algorithm for comparing secrets, you should be using constant-time algorithms. Lawson recommends something like the following in Python:
def is_equal(a, b): if len(a) != len(b): return False result = 0 for x, y in zip(a, b): result |= x ^ y return result == 0
Comments [0]
タイミングの弱点
2つ目の問題は、タイミング攻撃に関連したものである。このような攻撃は、Railsがクッキーストア中のメッセージダイジェストを検証する方法に関連していて、ねつ造された証明書が部分的に正しい時に攻撃者にダイジェストを突き止めることを許してしまうかもしれない。このことが、このプロセスよる、更なる攻撃へと導き、おそらくダイジェストをねつ造できてしまう。
Railsチームは、この種の攻撃はほとんど発生しないと言っているが、パッチを当てることをやんわりと推奨している。パッチは、バージョン2.2系と2.3系の今後サポートするRails用にのみリリースされた。:
パッチは、git-am用のフォーマットで、1つのChangesetからなり以下のパッチが盛り込まれている
Coda Hale氏は、Railsのタイミングの弱点を発見したと認められている。氏のサイトには、タイミングの弱点とは何か、 そしてどう悪用されるかについて説明している非常にすばらしい記事が載っている。
Comments [0]
Comments [0]