reklama

Nový side-channel attack na RSA

Nový side-channel attack na RSA
« kdy: 18. 12. 2013, 23:38:31 »
Izraelští kryptologové, mj. Shamir (!) dneska zveřejnili útok na RSA, konkrétně GnuPG pomocí akustického odposlechu počítače. Stačí prý obyčejný mobil na vzdálenost 30cm nebo speciální mikrofon na 4 metry a dají se zjistit hodně zajímavé věci o klíči, který se použije pro GPG šifrování nebo podepisování.

http://www.cs.tau.ac.il/~tromer/acoustic/ - tahle stránka už docela nezvládá, není divu :)
http://www.slideshare.net/daniel_bilar/acoustic-20131218 - paper

GnuPG to oznámili předem, takže oprava vyšla před zveřejněním článku:
http://lists.gnupg.org/pipermail/gnupg-devel/2013-December/028102.html
https://security-tracker.debian.org/tracker/CVE-2013-4576

Přijde mi to tak hustý, že mi to pořád připadá spíš jako dobrý předvánoční vtípek. Proto to taky radši nedávám do zpráviček, ať pak ze mě nemáte prd-el, vy hyeny! ;)

Co na to říkáte? Je to vtip nebo ne?! :)

Pro vtip: v roce 2004 podobnou věc prezentovali v zábavné sekci konference a teď se na to odvolávají.
Pro vtip: Magic-touch attack:  the attacker measures the chassis potential by merely touching the laptop chassis with his hand, while surreptitiously measuring his own body potential relative to the room's ground potential.
Pro vtip: Yes, power analysis, by measuring the current on the laptop's DC power supply, also works nicely using our low-bandwidth attack.
Něco mezi: Individual CPU operations are too fast for a microphone to pick up, but long operations (e.g., modular exponentiation in RSA) can create a characteristic acoustic spectral signature over many milliseconds, and these can be detected.
Proti vtipu: oficiální ohlášení ve vydání GPG?! Probublané do debianního advisory?! Trochu drsnej vtip, ne? :)
Proti vtipu: že by Shamir takhle krutě vtipkoval? Nebo že by někdo jeho jméno klidně uvedl na vtip bez jeho vědomí?!

No babo raď! :))

reklama


 

reklama