Side-channel атаки. Взлом COMP128
Представлена атака по сторонним каналам на алгоритм аутентификации в сетях GSM. Рассмотрены варианты ее улучшения с помощью комбинации нескольких атак по сторонним каналам. Распределенная атака на COMP128 (алгоритм аутентификации в GSM-стандарте).
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | статья |
| Язык | русский |
| Дата добавления | 15.01.2019 |
| Размер файла | 21,6 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Side-channel атаки. Взлом COMP128
Коровкин М.Г., аспирант кафедры, безопасных информационных технологий СПб НИУ ИТМО, mikhail.korovkin@gmail.com
Левина А.Б., доцент кафедры Безопасных Информационных Технологий НИУ ИТМО, levina@cit.ifmo.ru
В данной статье будет представлена атака по сторонним каналам на алгоритм аутентификации в сетях GSM. Будут рассмотрены различные варианты ее улучшению с помощью комбинации нескольких атак по сторонним каналам.
В последние 20 лет активно развивается новое направление криптоанализа, называемое Side Channel Attacks (SCA), или атаки по побочным каналам[1-9]. Основная идея данного подхода заключается в том, что шифрующее устройство рассматривается не только как математический аппарат, но и как конкретная его реализация на практике. Классический криптоанализ рассматривает криптоалгоритм с точки зрения математики - как некоторую функцию от входных данных, на выходе которой зашифрованный текст. Новая концепция рассматривает криптоалгоритм вместе с его материальной реализацией, обладающей определенными физическими свойствами, такими как время выполнения алгоритма, потребляемая при шифровании мощность, электромагнитное излучение от шифрующего устройства и другие.
В настоящее время SCA являются более результативным вариантом криптоанализа, нежели его классический вариант. С развитием SCA многие известные реализации используемых алгоритмов шифрования были взломаны, что побудило криптографов к созданию мер защиты от данной угрозы.
В данной статье будет рассмотрена одна из таких атак по побочным каналам - распределенная атака на COMP128 (алгоритм аутентификации в GSM-стандарте).
Распределенная атака на COMP128. В мае 2002 года сотрудники IBM Watson Research Center Josyula R. Rao, Pankaj Rohatgi и Helmut Scherzer совместно с Stephane Tinguely из Swiss Federal Institute of Technology опубликовали статью “Partitioning Attacks: Or How to Rapidly Clone Some GSM Cards” (Распределенные атаки или как быстро клонировать GSM-карты), в которой рассказали, как можно реализовать атаку по потребляемой мощности (Simple Power Analysis - SPA) на SIM-карту [6]. Данная атака позволяет получать секретный ключ всего за пару минут. При этом авторы использовали около 1000 случайных запросов и доказали, что можно использовать всего 255 заранее подготовленных запросов (атака с выбором открытого текста). Более того, атаку можно еще усовершенствовать до 8 приспосабливающихся запросов, что позволяет проводить вскрытие секретного ключа за несколько секунд. Предыдущая известная атака на COMP128 - BGW (Briceno, Goldberg, Wagner - по фамилиям авторов) - требовала примерно 150000 запросов.
Авторы распределенной атаки воспользовались тем фактом, что на первом раунде шифрования используется замена по таблице T0, которая содержит 512 элементов. Т.е. для индексации по ней необходимо использовать 9-битовые значения, в то время как в SIM-карте используется лишь 8-битовая архитектура. Тогда авторы предположили, что таблица должна быть разбита на 2 подтаблицы размером по 256 элементов. Анализируя энергопотребление SIM-карты при различных запросах, исследователи смогли определить, к какой части таблицы T0 был адресован запрос. Таким образом, замеряя энергопотребление запросов при изменении входных данных, им удалось вычислить секретный ключ.
Комбинированные атаки. Атаки по побочным каналам имеют большое многообразие. Как уже упоминалось ранее, можно использовать такие побочные каналы, как время шифрования[1], мощность потребления[2], электромагнитное излучение от шифратора[3,4]. Помимо этого можно использовать яркость света, излучаемого монитором и отраженного от стены[5]. Можно достать секретную информацию даже по звукам, издаваемым внутренними компонентами электронного шифратора[7]. Существуют также различные атаки, которые воздействуют на шифратор и создают в нем ошибки, по которым потом восстанавливается ключ[8,9].
В связи с этим многообразием возникла идея о возможности проведения комбинированной атаки по побочным каналам. Суть заключается в том, чтобы скомбинировать несколько атак для того, чтобы вскрыть какой-то алгоритм быстрее, чем это может сделать каждая из атак по отдельности. Также возможно сочетать несколько атак для получения большего количества секретных сведений, это даст результат, лучший, чем если бы использовалась одна из атак или обе, но по отдельности.
Варианты комбинированных атак на COMP128. Распределенная атака на COMP128, разработанная в 2002 году, является простой атакой по потребляемой мощности (SPA). Чтобы улучшить ее результаты, нужно скомбинировать эту атаку с какой-то другой. Рассмотрим атаку по времени (TA), атаку на основе зондирования (PA) и атаку на основе генерируемых ошибок (FIA).
Комбинация с атакой по времени. Комбинация с атакой по времени была бы неплохим вариантом, поскольку и атака по потребляемой мощности, и атака по времени являются неинвазивными и пассивными. Это очень удобно, поскольку в этом сочетании не требуется дополнительных активных воздействий, а лишь “прослушивание” шифрующего устройства. И обнаружить такую атаку после ее совершения было бы крайне трудно, поскольку обе ее составляющие никак не воздействуют на SIM-карту.
Однако на алгоритм COMP128 такую атаку провести довольно сложно, поскольку в нем используются операции, не подверженные атаке по времени.
Комбинация с атакой на основе зондирования. Комбинация с атакой на основе зондирования теряет те преимущества, которые имела комбинация атаки по потребляемой мощности и атаки по времени, поскольку зондирование является инвазивной атакой, т.е. потребуется "вскрывать" SIM-карту. Соответственно и обнаружить такую атаку после ее осуществления становится проще. Однако, зондирование дает куда большую свободу в выборе анализируемых данных, поскольку с его помощью можно наблюдать за практически любым местом шифрующего алгоритма.
В COMP128 можно наблюдать за последними 16 байтами на каждом из 8-ми раундов, а не только на первом. Это даст выигрыш в скорости в 8 раз.
Комбинация с атакой на основе генерируемых ошибок. Комбинация с атакой на основе генерируемых ошибок является чем-то средним между двумя предыдущими вариантами комбинированных атак. С одной стороны, данное сочетание уже нельзя назвать пассивной атакой, как комбинацию с атакой по времени, поскольку генерация ошибок является ярко выраженным примером активной атаки. Это дает возможность чуть-чуть изменять ход алгоритма, вносить туда какие-то ошибки, предоставляя более широкий спектр данных для анализа по потребляемой мощности. С другой стороны, генерация не такой мощный инструмент, как зондирование, поэтому ее применение не столь разносторонне и охватывающее. В то же время атака с генерацией ошибок, как правило, не требует столь дорогого оборудования.
Аналогично предыдущей атаке, хотелось бы вносить ошибку в начале каждого раунда в последние 16 байт. COMP128 записывает в эти 16 байт перемешанные биты, полученные на предыдущем раунде шифрования. Если бы удалось внести ошибку, которая позволяла бы записывать в последние 16 байт нужные нам значения, то и замеры по потребляемой мощности удалось бы проводить не только на первом раунде шифрования. Например, если бы с каждым раундом в последние 16 байт записывалось значение RAND, увеличенное на 1, то количество необходимых запросов бы сократилось в 8 раз.
Заключение
атака взлом алгоритм аутентификация
В данной статьей была рассмотрена распределенная атака на COMP128 и предложены методы ее усовершенствования с помощью различных комбинированных атак по сторонним каналам. Можно сделать вывод, что атаки по сторонним каналам являются очень сильным инструментом криптоанализа.
Следует отметить, что противодействие комбинированным side channel атакам состоит в том, чтобы противодействовать составляющим атакам. Это является основным недостатком комбинированных SCA, поскольку сложность защиты от них равна сложности защиты от одной из составляющих атак, причем именно той, которой легче всего противодействовать.
Литература
1. Paul C. Kocher. Timing attacks on implementations of Diffie-Hellmann, RSA, DSS, and other systems // Advances in Cryptology -- CRYPTO '96 : сборник. -- Springer, 1996. -- С. 104--113 http://www.cryptography.com/public/pdf/TimingAttacks.pdf [дата просмотра: 02.04.2013]
2. Paul Kocher , Joshua Jaffe , Benjamin Jun. Differential Power Analysis // Proc. of Advances in Cryptology (CRYPTO '99), LNCS : сборник. -- 1999 -- С. 388--397 http://www.cryptography.com/public/pdf/DPA.pdf [дата просмотра: 02.04.2013]
3. Jean-Jacques Quisquater and David Samyde. ElectroMagnetic Analysis (EMA): Measures and Counter-measures for Smart Cards // E-SMART '01 Proceedings of the International Conference on Research in Smart Cards: Smart Card Programming and Security : сборник. -- Springer-Verlag, 2001 -- С. 200--210
4. Karine Gandolfi , D. Naccache , C. Paar , Karine G. , Christophe Mourtel , Francis Olivier. Electromagnetic Analysis: Concrete Results // Proceedings of the Third International Workshop on Cryptographic Hardware and Embedded Systems: сборник. -- Springer-Verlag, 2001. -- С. 251--261 http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.1.5990&rep=rep1&type=pdf [дата просмотра: 02.04.2013]
5. Kuhn, M. G. Optical time-domain eavesdropping risks of CRT displays // Security and Privacy, 2002. Proceedings. 2002 IEEE Symposium on : сборник. -- 2002. -- С. 3--18. http://www.cl.cam.ac.uk/~mgk25/ieee02-optical.pdf [дата просмотра: 02.04.2013]
6. J.Rao, P. Rohatgi, H. Scherzer, S. Tinguely, Partitioning Attack: Or How to Rapidly Clone Some GSM Cards // IEEE Symposium on Security and Privacy -- 2002
7. Adi Shamir, Eran Tromer Acoustic cryptanalysis: On nosy people and noisy machines -- 2011 http://tau.ac.il/~tromer/acoustic/ [дата просмотра: 02.04.2013]
8. D. Boneh, R. A. DeMillo, and R. J. Lipton. On the importance of checking cryptographic protocols for faults // Advances in Cryptology -- EUROCRYPT '97: сборник. -- Springer, 1997. -- С. 37-51. http://citeseer.ist.psu.edu/viewdoc/download?doi=10.1.1.48.9764&rep=rep1&type=pdf [дата просмотра: 02.04.2013]
9. Eli Biham and Adi Shamir. Differential Fault Analysis of Secret Key Cryptosystems // Proceedings of the 17th Annual International Cryptology Conference on Advances in Cryptology (CRYPTO '97) : сборник. -- Springer-Verlag, 1997. -- С. 513--525.
Размещено на Allbest.ru
...Подобные документы
Исследование уязвимостей алгоритмов аутентификации абонентов в сети GSM. Определение необходимого количества материальных, интеллектуальных и временных ресурсов для осуществления атак, эксплуатирующих эти уязвимости, рекомендации по противодействию им.
дипломная работа [807,8 K], добавлен 28.08.2014Методы обнаружения атак на сетевом и системном уровнях. Административные методы защиты от различных видов удаленных атак. Уведомления о взломе. Ответные действия после вторжения. Рекомендации по сохранению информации и контроль над ней в сети Internet.
курсовая работа [36,0 K], добавлен 21.01.2011Классификации атак на отказ, их характеристики: тип, направление, схема и способ. Отраженные распределенные атаки на отказ. Назначение и проведение непрямой компьютерной атаки, функции IRC-ботнетов. Виды прямых атак (HTTP Flood, SYN Flood и прочие).
реферат [122,2 K], добавлен 22.01.2014Обобщенная модель процесса обнаружения атак. Обоснование и выбор контролируемых параметров и программного обеспечения для разработки системы обнаружения атак. Основные угрозы и уязвимые места. Использование системы обнаружения атак в коммутируемых сетях.
дипломная работа [7,7 M], добавлен 21.06.2011Общая характеристика информационных технологий и модели угроз компьютерной сети. Изучение средств защиты периметра сети и построение системы активного отражения атак в корпоративных сетях. Система обнаружения вторжений и автоматического отражения атаки.
дипломная работа [770,6 K], добавлен 19.10.2011Методы противодействия сетевым атакам. Алгоритм действия на сетевом уровне. Методы осуществления парольных атак. Атаки типа Man-in-the-Middle. Сетевая разведка, несанкционированный доступ. Переадресация портов. Вирусы и приложения типа "троянский конь".
курсовая работа [110,1 K], добавлен 20.04.2015Компьютерные атаки и технологии их обнаружения. Сетевые системы нахождения атак и межсетевые экраны. Программные средства анализа защищенности и отражения угроз. Внедрение программных средств выявления атак для информационной системы предприятия.
курсовая работа [53,6 K], добавлен 16.03.2015Описание и предназначение протокола DNS. Использование файла host. Особенности и описание способов атак на DNS: ложный DNS-сервер, простой DNS-флуд, фишинг, атака посредством отраженных DNS-запросов. Защита и противодействие атакам на протокол DNS.
реферат [324,3 K], добавлен 15.12.2014История электронной подписи в мире. Создание электронной цифровой подписи в электронном документе с использованием закрытого ключа. Модели атак и их возможные результаты. Алгоритм генерации ключевых пар пользователя. Новые направления в криптографии.
курсовая работа [106,1 K], добавлен 07.06.2014Использование электронных ключей как средства аутентификации пользователей. Анализ методов идентификации и аутентификации с точки зрения применяемых в них технологий. Установка и настройка средств аутентификации "Rutoken", управление драйверами.
курсовая работа [4,6 M], добавлен 11.01.2013Покращення захисту інформаційно-комунікаційних безпек з точки зору вимоги доступності. Класифікація DoS-атак, розробка моделі методики виявлення DoS-атаки та реалізація відповідного програмного засобу. Захист критичних ресурсів корпоративної мережі.
дипломная работа [932,6 K], добавлен 02.09.2016Разработка подключаемых модулей аутентификации как средства аутентификации пользователей. Модуль Linux-PAM в составе дистрибутивов Linux. Принцип работы, администрирование, ограничение по времени и ресурсам. Обзор подключаемых модулей аутентификации.
курсовая работа [192,0 K], добавлен 29.01.2011Концепция адаптивного управления безопасностью. Средства анализа защищенности сетевых протоколов и сервисов. Компоненты и архитектура IDS. Классификация систем обнаружения атак. Поиск уязвимостей в современных системах IDS. Методы реагирования на атаки.
курсовая работа [488,5 K], добавлен 13.12.2011Проблема безопасности операционных систем. Функции подсистемы безопасности. Идентификация пользователей, программные угрозы (атаки). Типы сетевых атак. Жизненный цикл разработки безопасных программных продуктов. Оценка атак на программное обеспечение.
презентация [1,4 M], добавлен 24.01.2014Исследование наиболее распространенных видов сетевых атак. Сетевая разведка. Характеристика способов защиты от сетевых атак с использованием специальных программ. Изучение преимуществ и недостатков сетевых экранов. Переполнение буфера. Вирусные программы.
реферат [329,2 K], добавлен 23.12.2014Понятие процесса биометрической аутентификации. Технология и вероятность ошибок аутентификации по отпечатку пальца, радужной оболочке или по сетчатке глаза, по геометрии руки и лица человека, по термограмме лица, по голосу, по рукописному почерку.
презентация [1,2 M], добавлен 03.05.2014Программа, которая будет выполнять записи в log-файл действий, идентифицированных как попытки атаки на защищаемый объект. Язык программирования PHP. Описание таблиц СУБД MySQL. Алгоритм работы программы. Вывод результата запроса через вложенный цикл.
курсовая работа [2,0 M], добавлен 26.07.2015Анализ принципов построения виртуальных сетей. Определение некоторых методов защиты в VPN сетях. Классификация основных методов построения таких сетей. Характеристика основных угроз и рисков в виртуальных сетях. Особенности возможных атак на VPN.
дипломная работа [1,2 M], добавлен 22.09.2011Описание информационных технологий и модель угроз. Средства защиты периметра сети, межсетевые экраны. Системы обнаружения вторжений, их классификация по уровням информационной системы. Подходы к автоматическому отражению атак и предотвращению вторжений.
дипломная работа [2,0 M], добавлен 05.06.2011Основные требования к блочным симметричным шифрам как к механизмам, обеспечивающим конфиденциальность. Адаптация методики реализации интегральной атаки для расшифрования усеченного варианта Crypton. Использование криптографических способов защиты.
дипломная работа [1,2 M], добавлен 05.06.2011
