Izraelští kryptologové, mj. Shamir (!) dneska zveřejnili útok na RSA, konkrétně GnuPG pomocí akustického odposlechu počítače. Stačí prý obyčejný mobil na vzdálenost 30cm nebo speciální mikrofon na 4 metry a dají se zjistit hodně zajímavé věci o klíči, který se použije pro GPG šifrování nebo podepisování.
http://www.cs.tau.ac.il/~tromer/acoustic/ - tahle stránka už docela nezvládá, není divu
http://www.slideshare.net/daniel_bilar/acoustic-20131218 - paper
GnuPG to oznámili předem, takže oprava vyšla před zveřejněním článku:
http://lists.gnupg.org/pipermail/gnupg-devel/2013-December/028102.htmlhttps://security-tracker.debian.org/tracker/CVE-2013-4576Přijde mi to tak hustý, že mi to pořád připadá spíš jako dobrý předvánoční vtípek. Proto to taky radši nedávám do zpráviček, ať pak ze mě nemáte prd-el, vy hyeny!
Co na to říkáte? Je to vtip nebo ne?!
Pro vtip: v roce 2004 podobnou věc prezentovali v zábavné sekci konference a teď se na to odvolávají.
Pro vtip: Magic-touch attack: the attacker measures the chassis potential by merely touching the laptop chassis with his hand, while surreptitiously measuring his own body potential relative to the room's ground potential.
Pro vtip: Yes, power analysis, by measuring the current on the laptop's DC power supply, also works nicely using our low-bandwidth attack.
Něco mezi: Individual CPU operations are too fast for a microphone to pick up, but long operations (e.g., modular exponentiation in RSA) can create a characteristic acoustic spectral signature over many milliseconds, and these can be detected.
Proti vtipu: oficiální ohlášení ve vydání GPG?! Probublané do debianního advisory?! Trochu drsnej vtip, ne?
Proti vtipu: že by Shamir takhle krutě vtipkoval? Nebo že by někdo jeho jméno klidně uvedl na vtip bez jeho vědomí?!
No babo raď!
0 Odpovědí
3676 Zhlédnutí