btc
bch
eth

Приватный ключ может быть украден при тактильном контакте с устройством

Будучи достаточно подкованным, вы можете извлечь приватные ключи простым прикосновением к компьютеру.

Исследователь проводит эксперимент, при котором получает криптографические ключи, хранящиеся в памяти компьютера, при помощи сложного алгоритма измерения разницы потенциалов между кожей человека и ПК.

 

Хитрость заключается в том, что величина условно нулевого электрического потенциала многих компьютеров зависит от характера производимых процессором вычислений. Не являются исключением и операции, производимые криптографическим ПО для расшифровки данных с использованием секретного ключа.

По словам эксперта по безопасности из Тель-Авивского университета Эрана Тромера, значения потенциала, передавшегося вашей коже через металлический ободок ноутбука, достаточно для определения ключей. Разумеется, не без помощи сложного аналитического алгоритма.

Это удивительное исследование было опубликовано, а также продемонстрировано на криптографической конференции в Санта-Барбаре ещё в 2014 году.

Передачу данных можно осуществить несколькими способами – осуществив контакт между металлической частью ноутбука либо проводом, либо ладонью (желательно, влажной), присоединив провод к любой другой части тела. Также можно присоединить зажим к дальнему концу кабеля Ethernet, USB или VGA, присоединённого к ПК. Более того, при помощи высокоточного вольтметра можно произвести измерения бесконтактно. Необходимое условие – контакт должен быть установлен в момент, когда компьютер использует ключ для получения доступа к данным (например, разблокирует папку или e-mail).

Тромер заявляет, что его исследовательская команда использовала этот метод для получения ключей, сгенерированных на основе широко используемых стандартов – 4,096-битного RSA и 3,072-битного EIGamal.

Исследование укрепляет тот аргумент, что даже самые передовые технологии могут быть уязвимы перед так называемыми sidechannelattacks, при которых взламывается не само решение, а используются его выходные данные из менее защищённых сопутствующих устройств или особенности физических законов, позволяющих ему функционировать. Однако это работает и в обратную сторону – злоумышленники, решившие использовать данную технологию, также не останутся незамеченными, так как их вмешательство влияет на энергопотребление компьютера.

Израильскому исследователю неизвестно о случаях реальных атак подобного рода, однако он уведомил об уязвимости производителей криптографического софта. Избежать утечки можно, сопровождая важные вычисления случайными шумами. Разработчики популярного бесплатного криптографического пакета GnuPG уже прислушались к Тромеру и внедрили обновление в своё ПО.

Источник

Похожие материалы

Комментарии

Your browser is out of date!
Install the latest version of your browser.