今天小編分享的互聯網經驗:攻擊者可遠程收集足夠的信息來恢復支持加密算法安全性和機密性的密鑰,歡迎閲讀。
通過使用 iPhone 或商業監控系統中的攝像頭來恢復存儲在智能卡和智能手機中的加密密鑰,以視頻記錄顯示讀卡器或智能手機何時打開的電源 LED。通過仔細監控功耗、聲音、電磁輻射或操作發生所需時間等特性,攻擊者可以收集足夠的信息來恢復支持加密算法安全性和機密性的密鑰。如今,黑客可以通過近 20 米外的視頻錄制電源 LED 竊取加密密鑰。
左圖是智能卡讀卡器正在處理插入智能卡的加密密鑰,右圖是一個監控攝像頭從近 20 米外的地方記錄下讀取器的電源 LED
研究人員最近發現了一種新的攻擊方法,通過使用 iphone 或商業監控系統中的攝像頭,記錄下讀卡器或智能手機打開時顯示的電源 LED,可以恢復存儲在智能卡和智能手機中的秘密加密密鑰。
這些攻擊提供了一種利用兩個先前披露的側信道的新方法,側信道攻擊 ( side channel attack 簡稱 SCA ) ,又稱側信道攻擊,核心思想是通過加密軟體或硬體運行時產生的各種泄漏信息獲取密文信息。在狹義上講,側信道攻擊特指針對密碼算法的非侵入式攻擊,通過加密電子設備在運行過程中的側信道信息泄露破解密碼算法,狹義的側信道攻擊主要包括針對密碼算法的計時攻擊、能量分析攻擊、電磁分析攻擊等,這類新型攻擊的有效性遠高于密碼分析的數學方法,因此給密碼設備帶來了嚴重的威脅。在本例中,通過仔細監控功耗、聲音、電磁發射或操作發生所需的時間等特征,攻擊者可以收集足夠的信息來恢復支撐加密算法安全性和機密性的密鑰。
側信道開發過程
最近發現的側信道分别是 Minerva 和 Hertzbleed,分别于 2019 年和 2022 年被發現。Minerva 能夠通過在一個稱為标量乘法的加密過程中測量時序模式來恢復美國政府批準的智能卡的 256 位密鑰。Hertzbleed 允許攻擊者通過測量英特爾或 AMD CPU 執行某些操作的功耗來恢復後量子 SIKE 加密算法使用的私鑰。考慮到一個使用時間測量,另一個使用電源測量,Minerva 被稱為定時側信道,而 Hertzbleed 可以被視為電源側信道。
研究人員最近公布了一項新研究,展示了一種利用這些側信道的新方法。第一種攻擊使用連接互聯網的監控攝像頭在加密操作期間拍攝智能卡讀卡器上電源 LED 或連接的周邊設備的高速視頻。這項技術使研究人員能夠從 Minerva 使用的同一張政府批準的智能卡上提取 256 位 ECDSA 密鑰。另一種方法使研究人員能夠通過在連接到手機的 USB 揚聲器的電源 LED 上訓練 iPhone 13 的攝像頭來恢復三星 Galaxy S8 手機的專用 SIKE 密鑰,類似于 Hertzbleed 從英特爾和 AMD CPU 上獲取 SIKE 密鑰的方式。
電源 led 用于指示設備何時打開,它們通常會發出藍色或紫色的光,亮度和顏色會根據所連接設備的功耗而變化。
這兩種攻擊都有局限性,使得它們在許多現實場景中不可行。盡管如此,已發表的研究還是具有開創性的,因為它提供了一種全新的方式來促進側信道攻擊。不僅如此,新方法還消除了阻礙現有方法利用側信道的最大障礙,即需要示波器、電探針或其他物體等儀器接觸或靠近被攻擊的設備。
在 Minerva 的示例中,為了讓研究人員收集足夠精确的測量數據,智能卡讀卡器的主機必須被攻破。相比之下,Hertzbleed 并不依賴于受攻擊的設備,而是花了 18 天的時間與易受攻擊的設備進行持續互動,以恢復私鑰。要攻擊許多其他側信道,例如第二次世界大戰加密電傳終端中的側信道,攻擊者必須在目标設備上或附近安裝專用且通常昂貴的儀器。
近期發布的基于視頻的攻擊減少或完全消除了此類要求,要想竊取存儲在智能卡上的私鑰,只需要在距離目标讀卡器 20 米遠的地方安裝一個聯網的監控攝像頭。三星 Galaxy 手機的側信道攻擊可以通過已經在同一個房間裏的 iPhone 13 攝像頭來執行。
本文的亮點就是你不需要連接探測器、連接示波器或使用軟體定義的無線電。該方法沒有攻擊性,你可以使用智能手機等普通或流行的設備來實施攻擊。對于連接互聯網的攝影機來説,你甚至不需要接近物理場景就可以實施攻擊,這是軟體定義的無線電或連接探針或類似物無法做到的。
與傳統的側信道攻擊相比,該技術還有另一個好處:精确性和準确性。Minerva 和 Hertzbleed 等攻擊通過網絡泄露信息,這會引入延遲并增加噪聲,而這些噪聲必須通過從大量操作中收集數據來補償。這一限制導致 Minerva 攻擊需要目标設備被破壞,而 Hertzbleed 攻擊需要 18 天時間。
使用卷簾快門 ( rolling shutter )
令許多人驚訝的是,一台記錄電源 LED 的标準攝影機提供了一種數據收集方式,對于測量通過側信道泄漏的信息來説,這種方式要高效得多。當 CPU 執行不同的加密操作時,目标設備消耗不同的電量。這些變化會導致設備或連接到設備的周邊設備的電源 LED 的亮度變化,有時還會導致顏色變化。
為了足夠詳細地捕捉 LED 的變化,研究人員啓動了新型相機中可用的卷簾快門。卷簾快門是一種影像捕捉形式,在某種程度上類似于延時攝影。它以垂直、水平或旋轉的方式逐行快速記錄幀。傳統上,相機只能以其幀速率拍攝照片或視頻,幀速率最高可達每秒 60 至 120 幀。
該説明了卷簾快門捕捉旋轉光盤背後的原理
激活卷簾快門可以提高采樣率,每秒收集大約 60,000 個測量值。研究人員在設備執行加密操作時,将當前打開或連接在設備上的電源 LED 完全填充到一個框架中,利用卷簾快門,使攻擊者有可能收集到足夠的細節來推斷存儲在智能卡、手機或其他設備上的密鑰。
這是可能的,因為設備的電源 LED 的強度 / 亮度與其功耗相關,因為在許多設備中,電源 LED 直接連接到電路的電源線,缺乏有效的手段 ( 例如,濾波器,電壓穩定器 ) 來解耦相關性。
研究人員實證分析了視頻攝影機的靈敏度,并表明它們可以用于進行密碼分析,原因有兩個,一是設備的電源 LED 的視頻片段的單個 RGB 通道的有限 8 位分辨率 ( 256 值的離散空間 ) 足以檢測由加密計算引起的設備功耗差異,二是攝影機的卷簾快門可以利用視頻片段中電源 LED 的強度 / 亮度的采樣率提高到執行密碼分析所需的水平,即将視頻片段中電源 LED 的強度 / 亮度的測量次數 ( 采樣率 ) 增加三個數量級,從 FPS 速率 ( 每秒提供 60-120 次測量 ) 到卷簾快門速率 ( 在 iPhone 13 Pro Max 中每秒提供 6 萬次測量 ) ,通過縮放目标設備電源 LED 上的攝影機,使 LED 的視圖填充整個視頻片段。這樣,可以使用攝影機作為專業專用傳感器的遠程攻擊替代品,這些傳感器通常用于密碼分析(例如,示波器、軟體定義的無線電)。
視頻 1和視頻 2 分别顯示了智能卡讀卡器和三星 Galaxy 手機在執行加密操作時的視頻捕獲過程。用肉眼看,這段視頻看起來沒什麼特别的。
但是,通過分析綠色通道中不同 RGB 值的視頻幀,攻擊者可以識别加密操作的起止進程。
一些限制條件
研究中假設的威脅模型是,目标設備正在創建數字籤名或在設備上執行類似的加密操作。該設備具有标準開 / 關類型 1 或指示電源類型 2 電源 LED,其保持恒定顏色或響應觸發的加密操作時改變顏色。如果設備沒有 1 型或 2 型電源 LED,則必須連接到有此功能的周邊設備。這些電源 LED 的亮度或顏色必須與設備的功耗相關。
攻擊者是一個惡意實體,可以在加密操作發生時持續錄制設備或周邊設備 ( 如 USB 揚聲器 ) 的電源 LED。在智能卡讀卡器的示例中,攻擊者首先通過攻擊距離讀卡器電源 LED 近 20 米遠的監控攝像頭來獲取視頻。攝像頭被劫持的前提是,攻擊者必須能夠控制攝像頭的縮放和旋轉。考慮到許多聯網攝影機被研究人員、現實世界的僵屍網絡運營商和其他攻擊者主動攻擊的示例,目前假設條件并不是一個特别高的要求。
當攝像頭在近 20 米遠的地方時,房間的燈必須關閉,但如果監控攝像頭在大約 2 米遠的位置時,則可以打開燈。攻擊者也可以用 iPhone 記錄智能卡讀卡器的電源 LED。視頻必須持續運行 65 分鍾,在此期間,閲讀器必須不斷地執行操作。
對于三星 Galaxy,攻擊者必須能夠在相當近的距離内記錄 USB 連接揚聲器的電源 LED,同時手機執行 SIKE 籤名操作。
攻擊假設存在一個現有的側信道,該信道在執行加密操作時泄露設備的功耗、時間或其他物理表現。插入讀卡器的智能卡使用了一個代碼庫,該代碼庫尚未針對 Minerva 攻擊進行修補。三星 Galaxy 使用的一個庫仍然容易受到 Hertzbleed. 的攻擊,很可能在未來發現的一些側通道也會允許此類攻擊。
威脅模型極大地限制了當前攻擊的工作場景,因此攻擊不太可能針對軍事基地或其他高安全設定中使用的讀卡器。
這是因為讀卡器本身很可能是修復過的,即使沒有被修復,在這些環境中發給員工的智能卡也會每隔幾年輪換一次,以确保它們包含最新的安全更新。即使讀卡器和智能卡都容易受到攻擊,讀卡器也必須在整整 65 分鍾内持續處理卡,這在安全檢查中的标準刷卡過程中是不可能實現的。
但并非所有設定都受到如此嚴格的限制。這六種智能卡讀卡器都可以在亞馬遜上買到,并且與美國軍方使用的通用門禁卡 ( 稱為 cac ) 兼容。其中四個閲讀器的廣告上寫着 " 國防部 "、" 軍隊 " 或兩者兼而有之。軍方或政府人員在遠程登錄非機密網絡時使用這種讀卡器均屬正常。
一般來説,只要你的作業系統支持特定的制造商和型号,訪問國防部資源需滿足兩個條件即可,1. 為作業系統安裝了當前的根和國防部 CA,以信任你的智能卡證書和你連接的網站 / 服務的證書,2. 有問題的資源可以從公共互聯網直接訪問而不是先連接内部 VPN。公司、州或地方政府以及其他組織則沒有那麼多限制。
三星 Galaxy 攻擊的另一個限制是,在發現一種使用復雜數學和一台傳統 PC 來恢復保護加密交易的密鑰攻擊後,SIKE 算法被進行了限制。
對于此假設攻擊,三星進行了回復:
我們可以确認,研究人員在 Galaxy S8 上開發的假設攻擊已于 2022 年向我們報告,經過審查,并被視為低風險,因為我們的設備上沒有使用特定的算法。消費者隐私至關重要,我們将對所有設備保持最高标準的安全協定。
研究人員丹尼爾 · 格魯斯 ( Daniel Gruss ) 説,盡管這種攻擊目前還處于理論層面,但研究結果絕對是有趣和重要的,特别是在發現了 Hertzbleed 和 Platypus 的類似攻擊之後。與 Platypus、Hertzbleed 等相關攻擊越來越多,關鍵是電源側信道攻擊可以泄露的信息非常多。随着基于遠程軟體的攻擊或本文提出的基于視頻錄制 / 空氣間隙的攻擊,攻擊成功率提高了很多。另外,許多研究人員都觀察到,随着新技術和漏洞的發現,攻擊只會随着時間的推移而變得更易實現。從硬體發展角度來講,現在某些限制的因素,比如攝影機,未來随着設備快速發展,幾年後本文講的理論上的攻擊可能會增加攻擊範圍或縮短攻擊所需的時間。
研究人員還對當今基于視頻的密碼分析的真正潛力表示擔憂。在本文所説的研究中,他們專注于常用和流行的攝影機,以演示基于視頻的密碼分析,即一個 RGB 通道的 8 位空間、全高清分辨率和支持的最大快門速度。然而,新版本的智能手機已經支持 10 位分辨率的視頻片段,例如,iPhone 14 Pro MAX 和三星 Galaxy S23 Ultra。此外,分辨率為 12-14 位的專業攝影機已經存在,2 樣的攝影機可能提供更高的靈敏度,這可能使攻擊者能夠通過電源 LED 的強度來檢測設備功耗的非常細微的變化。此外,許多互聯網與現有研究中使用的攝影機 ( 25 倍 ) 相比,具有更大光學變焦能力的聯網安全攝影機 ( 30 倍至 36 倍 ) 已經存在,并且可能已經廣泛部署。這種安全攝影機可能允許攻擊者從比本文所演示的更遠的距離對目标設備進行基于視頻的密碼分析。最後,新的專業攝影機目前支持 1/180,000 的快門速度 ( 例如,富士膠片 X-H2.3 ) ,使用這種攝影機可能允許攻擊者以更高的采樣率獲得測量結果,這可能會使其他設備面臨基于視頻的密碼分析的風險。
研究人員給制造商推薦了幾種對策,以增強設備抵御基于視頻的密碼分析。其中最主要的是通過集成一個起 " 低通濾波器 " 的電容器來避免使用指示電源 LED。另一種選擇是在電源線和電源 LED 之間集成一個運算放大器。
目前尚不清楚受影響設備的制造商是否或何時會添加此類防範措施。目前,建議那些不确定自己的設備是否存在漏洞的人應該考慮在電源 LED 上貼上不透明的膠帶。