Ispravka,

Nije razbijen algoritam enkripcije, vec je jedna od implementacija (OpenSSL) pokazala slabosti kada se izlozi vrlo specificnim i specijalizovanim napadima uz pomoc generisanja gresaka u CPU-u promenom napona.

Ok, kako god , nesto mi je tesko da poverujem u ovo :)
Ako je istina stvarno treba biti faca i dosetiti se ovog nacina za razbijanje implementacije enkripcije ..

Eh, fame brings fortune. Sad su glavne face na kongresu jer su otkrili side-channel napad ;) Imponuje to malo, a i lakse dolazis do grantova za istrazivanja, itd, itd.

Jos samo da RSA otkloni gresku u algoritmu ;) polupismeni novinari i njihov FUD. Svidja mi se jedan od komentara iz teksta :)

"It's like being concerned that a midget could be hiding inside your safe and will open it when a burglar comes by"

Pa i nije nesto preterano inovativno, sto rece mmix - klasicni side-channel napad, nista novo i nista spektakularno. U arsenalu svakog >ozbiljnijeg< cyber-spijuna.

Ali lepo je znati da se IT novinarstvo svelo na tabloidni kvalitet ovih dana.

Eh da , sad videh da side-channel attack i nije neka inovacija:
http://en.wikipedia.org/wiki/Power_analysis

Svejedno, onaj ko je prvi otkrio side chanel napade je faca.

Side channel napadi su stari koliko i sigurnost, lockpicking je klasicni side channel napad na bravu, ispipavanjem i osluskivanjem uz poznavanje rada brave (algoritam) ista se otkljucava. prvi crypto side-channel napad je analogija postojecim mehanickim mehanizmima i nije nikakvo otkrice, samo je adaptacija na nove okolnosti. To bar sto se tice "naucnog" stanovista i porekla ideje, inzenjerski deo implementacije tog napada naravno nije nimalo lak.

Čekaj, neko će snimanjem potrošnje struje i poznavanjem algoritma da snimi ključ?

Kako će u praksi da izvede snimanje potrošnje struje procesora udaljenog računara?

Tako sto se Tomica Kruz spusti kroz neosiguranu rupu na krovu koristeci cekrk sa daljinskim i zakaci snimac za strujni kabl

Teoretski postoji mali milion načina kako da se dođe do ključa na mnogo lakši način nego instalirati elektroniku u računar i manipulisati voltažom procesora, pa ne znam čemu tolika frka oko ovoga...

Izgleda je cela stvar toliko 'bitna' da je Bruce Schneier nije ni spomenuo u blogu...

Pa u ekstremnoj teorijskoj situaciji kao sto je ova prakticna primena je stvarno dubiozna, kad imas taj nivo pristupa masini mozes i mnogo grdje stvari da joj uradis

Čekaj, ako sam shvatio, ne moraš ni da otvaraš kućište, već da se prikačiš na onaj spoljni kabl. I kakve sad veze ima potrošnja, kad struju arče i grafička kartica i memorija i disk i ko zna šta još.

Da li to znači da ako generišeš klučeve na laptopu isključenom iz struje, koji radi na bateriju, mogu samo da ti puše?

Ma mogu da ti puse i ovako, njegova reprodukcija je obavljena u strogo kontrolisanim labaratorijskim uslovima, takve uslove nemas nigde u realnoj upotrebi, ako nista drugo EM izvori blizu naposnke mreze ce indukovati pseudo-random sum u power line-u koji predstavlja varijaciju napona. Citirah sa pocetka onog lika: "It's like being concerned that a midget could be hiding inside your safe and will open it when a burglar comes by". Nece se desiti nikad.

Mogu da mi puše i inače, ali me zanima da li sam dobro razumeo da se to radi snimanjem kabla za napajanje računara., onog spolja što se vuče po podu.

Jok , u napajanju imas stabilizatore mreznog napona , tako da ako ti napon varira izmedju nekog opsega
od recimo 190 - 250 v napon na ploci ti je i dalje nepromenjen .

Ako mrezni napon bude van dozvoljenog opsega ploca ce se ugasiti ,
samim tim nema nista ni od hakovanja :)

Da ne pricamo da hw. resenja koja jesu kriticna za sigurnost imaju mehanizme detekcije pada napona na kljucnim mestima, i da za to vreme mogu da suspenduju operacije.

Cela stvar je prakticno neupotrebljiva, ali jeste sasvim OK za naucni rad.

Jedino je moguce ako na tim kljucnim mestma se emituje neki šum
koji ce proizvoditi jitter tj. time-shift prednje ivice impulsa takta koje CPU proizvodi .
A to su upravo labaratorijski uslovi .

Cak i consumer-grade TPM cipovi imaju kontrole napona + sto su upakovani u specijalno kuciste koje prilicno otezava otvaranje i igranje sa samim silikonom (mada, nekima uspeva: http://forums.theregister.co.u...7/infineon_tpm_crack/#c_698445)

Mislim, ako si vec dosao dotle da mozes da otvaras sistem i laserom skidas packaging od TPM cipa ili da precizno menjas napon... ono, mozes taj laser iskociti za pretnju operateru da ces mu sprziti oci ako ti ne da sifru...

Nesto mi se cini da ce to brze ici :)

Pa dobro ali radi posao ako ukrades laptop ili racunar, odneses ga na sigurnu lokaciju pa razbijas :)

Covek je uvek bio i biec najslabija karika bilo kog security sistema Mozes da ga iskomplikujes koliko hoces samo ces da povecas raspolozivi spook budzet za mucenje operatera

Cak i ovaj lik koji je razbio hardverski TPM je potrosio vise desetina komada u tom procesu, koji su bili spaljeni.

Ako to prebacimo u praktican domen, znaci ukrades laptop nekog CEO-a na kome se nalazi neka informacija koja kosta mnooogo para... sanse da ogulis TPM cip kako bi mu deaktivirao zastitu od pada napona bez da greskom ne aktiviras zastitu protiv otvaranja pakovanja koja ce momentalno spaliti ceo cip (yep, i to ima) su prilicno male...

Jos, ako u celoj toj prici triggerujes reboot mozes se ponovo susresti sa master password promptom.

Mislim da je daleko lakse do tih informacija doci na neki drugi nacin... mito i korupcija su nepobediva stvar :-)

A jel moguce ovo iskoristiti na onim "spravicama" za identifikaciju na ulazima "samo za autorizovano osoblje"?
Znate na sta mislim . Provucete neku karticu/ plastiku kroz uredjaj i otvorite vrata . Vidjao sam to po bankama .
Da li je takav hardver siguran od side-channel napada ?

Pa dobro, usavrsice se tehnika za TPM :) mislim da cak i postoji ali nije objavljena javno...ovako ukradu ti lap top i ti mislis da mogu da ga duvaju jer imas TPM ali avaj.... :P

Oslanjati se samo na jedan metod zastite je prilicno losa stvar. Pa makar taj metod zastite bio i TPM.

@deerbeer,

Ni jedan hardver nije siguran od side-channel napada, samo je pitanje koliko ti mozes imati pristupa tom hardveru kako bi analizirao sistem.

Pretpostavljam da ne bi mogao da dodjes sa srafcigerom i da rastavis vrata od banke kako bi dosao do kontrolnog modula tog citaca kartica... vreme koje bi imao na raspolaganju da to radis je verovatno manje od vremena koje je njima potrebno da te primete i da posalju obezbedjenje.

U tom tvom konkretnom slucaju, daleko je lakse ukrasti pristupnu karticu od nekog radnika, ili socijalnim inzenjeringom doci u mogucnost da udjes bez problema, nego se baviti kriptoanalizom hardverskog sistema zastite ulaza.

Side-channel napad na RFID RFID se speluje "crack-me" , bar za sada.

Za vecinu jeftinih rfid sistema za brave treba ti samo RFID citac i da se prosetas pored mete i pokupis joj kodove rolling ili crypto RFID tagovi su malo skuplje igracke. Realno, te kartice vise sluze da vide dal kasnis na posao. Ako bas neko hoce da udje tvojom karticom treba samo da ti je uzme, pod pretnjom pajsera.

Auh... ja sam mislio da su to neke smart kartice sto koriste... a ne RFID :)

RFID je fail in the making.

Narafski - Mita bekrija rulez.

Samo, još uvek nisam shvatio kakva je ovo vrsta napada. Čekaj, ne snimaš kabl spolja, nego guliš procesor ili šta?

direktno na nogice procesora stavljas sum, koji pravi greske toko kriptiranja, i ako ti dosta puta kriptiras istu stvar, i napravis razlicite greske na razlicitim mestima, i ako znas ulazne i izlazne podatke, onda mozes (posle dugo vremena) da provalis 1024bitni kljuc

inace, xkcd kaze sve:

Evo jednog korisnog linka http://www.cl.cam.ac.uk/~sps32/mcu_lock.html

Ovo je za one koji jos nisu shvatili kako stvar funkcionira.
Uz skupu opremu, malo kemije i mirne ruke sve se moze.

Bilo je samo pitanje vremena , bez obzira sto ovaj nacin nije "savrsen" pokazali su da moze, makar i teoriski sto samo dalje pokrece ciklus --> provaljena zastita --> veca zastita --> provaljena zastita --> veca zastita , a da ovog ciklusa nema niti bi hakeri niti ljudi koji se bave sigurnoscu imali posla, u svakom slucaju ==> borimo se protiv seke

Iako ovo realno nema skoro nikakvu primenu u prakticnom zivotu :D

Pa sad,

Nije uopste "provaljena zastita" - vec samo jedna implementacija pokazuje manjkavosti pri vrlo egzoticnim uslovima testiranja.

Kako je u pitanju 100% softverska implementacija (OpenSSL) - oni ama bas nista ne mogu da urade po tom pitanju, jer je za zastitu protiv ovakvih napada neophodno imati hardverska resenja koja su u stanju da detektuju da operisu van specifikacija. OpenSSL uopste i ne pretenduje da pruzi takvu vrstu zastite.

Tako da... jedini uspeh celog tog istrazivanja je sto su povecali informisanost sire javnosti o ovom problemu. Nisu oni nista novo otkrili, i ovakvi side-channel napadi nisu nista novo u kriptografskoj industriji. Bas zbog ovakvih napada moderni sigurnosni hardver i ima module koji konstantno proveravaju da li hardver radi unutar sistemskih specifikacija.

Sigurnost podataka je izuzetno kompleksna tema - i pri projektovanju nekog sigurnosnog sistema se mora uzeti u obzir mnogo aspekata. Sam kripto-algoritam je samo jedan mali delic price - obezbedjivanje kompromitovanja sistema kroz softverske i/ili hardverske hackove je isto tako bitan deo price.

A da li je takve napade do sada neko uspevao da izvede u praksi ili su bili samo u domenu teorije?

Upravo par postova prije sam dao link gdje je covjek napiso disertaciju
o razbijanju zastite kopiranja mikrokontrolera i tehnikama koje su pritom
koristene. Itekako je moguce izvesti sve to samo je potrebna skupa
oprema u vidu mikroskopa, lasera, mjernih uredaja visoke razlucivosti,
uredaja za mikro pozicioniranje sa sondama.......

Da, lepo je opisana neinvazivna metoda koja se koristi za side-channel napade .
To je hardverski deo . Medjutim njega zanima onaj softverski deo sto se tice razbijanja enkripcije .
Menjanje i kontrolisanje napona/impulsa takta procesora je samo pomagalo da bi se ostvario taj cilj .
Ima tu dosta i matematike, statistike, kriptoanalize ... i jos mnogo cega :)


_{[Ovu poruku je menjao deerbeer dana 25.03.2010. u 11:50 GMT+1]}

Mislim da ga ipak zanima prije hardware dio.



Naravno da treba prije znati kako funkcionira algoritam da bi se
uopce znalo sta treba pratiti i snimati i kakve tehnike koristiti.

BTW jos se ceka da neko primjeni ove metode na PS3 da ga haknu do kraja
malo o ovome http://rdist.root.org/2010/01/...the-ps3-hypervisor-was-hacked/
i jos malo konkretnije http://www.ps3news.com/PS3-Hac...egend-continues/#ixzz0doaNsMQ6

Mene je zanimalo da li je ranije neko kompletno obavio posao, tj. demonstrirao otkrivanje privatnog ključa.

Uzgred, novinari se jesu nalupetali, jer je formulacija razbijanja RSA izračunavanje privatnog ključa na osnovu javnog. Ovo je nešto drugo.

Zato postoji npr. FIPS 140-2 L4 i uredjaji koji ga ispunjavaju imaju cenu kakvu imaju :)


(...)
Security Level 4 cryptographic modules are useful for operation in physically unprotected environments. Security Level 4 also protects a cryptographic module against a security compromise due to environmental conditions or fluctuations outside of the module's normal operating ranges for voltage and temperature. Intentional excursions beyond the normal operating ranges may be used by an attacker to thwart a cryptographic module's defenses. A cryptographic module is required to either include special environmental protection features designed to detect fluctuations and zeroize CSPs, or to undergo rigorous environmental failure testing to provide a reasonable assurance that the module will not be affected by fluctuations outside of the normal operating range in a manner that can compromise the security of the module.
(...)

(http://en.wikipedia.org/wiki/FIPS_140-2)

Poz,
Milenko.