Dźwięki wydawane przez procesor mogą wyjawić nasze prywatne klucze RSA

Kapelusze z folii aluminiowej mogą już nie wystarczyć. Gdy DragosRuiu przekonywało możliwości komunikowania się między sobą zarażonych komputerów(które odcięto fizycznie od sieci) przez kanał akustyczny, za pomocąwbudowanych mikrofonów i głośników, niektórzy pukali się w głowę(przynajmniej do momentu, gdy niemieccy badacze Hanspach i Goetz niepokazali, jak można budować akustycznesieci, wykorzystujące do bezprzewodowej komunikacji międzywęzłami protokoły opracowane przez Bundesmarine do komunikacji międzyokrętami podwodnymi). Na tym jednak nie koniec problemów z dźwiękiem.Opublikowany wczoraj przez izraelskich kryptografów (wśród którychznalazł się słynny Adi Shamir) artykuł pt. RSA Key Extraction viaLow-Bandwidth Acoustic Cryptanalysis opisuje metodę, dziękiktórej z komputerów można wykradać prywatne klucze RSA,podsłuchując wydawane przez nie dźwięki.Kryptoanalityczne ataki typu sidechannel, w którychnapastnik do przejęcia informacji wykorzystuje analizę stanówmaszyny, to nic nowego. W taki sposób już w latach trzydziestychbrytyjski wywiad nasłuchiwał kliknięć maszyn szyfrujących Hagelinaw ambasadzie Egiptu, zliczając kliknięcia podczas zestawiania tarcztego urządzenia. To jednak historia, a pomysł Shamira i jego kolegówjest czymś idealnie na nasze czasy. Jak piszą badacze: opracowaliśmyi zademonstrowaliśmy atak wydobycia klucza, który może w ciągugodziny ujawnić 4096-bitowe klucze RSA używane przez narzędzie GnuPGuruchomione na laptopie, poprzez analizę dźwięków generowanych przezkomputer w trakcie deszyfrowania wybranych szyfrogramów.[img=setup-eavesdropping]Atak polega na nagraniu i późniejszejanalizie dźwięków wydawanych przez procesor komputera ofiary. Okazujesię, że można rozróżnić dźwięki wydawane podczas uruchamianiakryptograficznych algorytmów RSA z różnymi kluczami i wydobyć teklucze, mierząc fizyczne właściwości fal generowanych przez maszynępodczas deszyfrowania konkretnych szyfrogramów. Dźwięk ten nie bierzesię z żadnych mechanicznych komponentów – to efekt ubocznydziałania obwodów regulacji napięcia, próbujących utrzymać zasilanieprocesora na tym samym poziomie pomimo ogromnych fluktuacji zużyciaenergii wywoływanych odbywającymi się w nim operacjami.Napastnik musi więc przesłać ofierzezaszyfrowaną jej kluczem publicznym, znaną sobie wiadomość, anastępnie w jakiś sposób umieścić urządzenia podsłuchowe w pobliżukomputera. Można to zrealizować za pomocą np. złośliwej aplikacjimobilnej, można wykorzystać ultraczułe mikrofony do podsłuchudalekiego zasięgu, można wreszcie zrobić to w tradycyjny sposób,odwiedzając mieszkanie ofiary pod jej nieobecność, by umieścić wróżnych ciekawych miejscach podsłuchy. Izraelscy badacze dowiedli, żechoć najlepsze wyniki dawał profesjonalny zestaw wykorzystującypojemnościowe mikrofony o różnej czułości, podłączone doprzedwzmacniacza, wzmacniacza, niskoprzepustowego filtru RC iprzetwornika analogowo-cyfrowego, to jednak możliwe jestwykorzystanie nawet prostych, tanich telefonów z Androidem (zpowodzeniem wykorzystano m.in. HTC Sensation i Samsunga Galaxy S II).Potem już tylko pozostaje czekać, ażofiara otworzy zaszyfrowaną wiadomość, nagrywać dźwięk z urządzeniapodsłuchowego, a nagranie poddać analizie widmowej, wynikiprzetwarzając za pomocą opracowanych przez badaczy algorytmów. Zezwykłymi wiadomościami niewiele by to dało, ale spreparowanyszyfrogram prowadzi do licznych zakłóceń w algorytmie potęgowaniamodularnego, wykorzystywanego w GnuPG – wartość zero pojawiaćsię ma bardzo często w wewnętrznej pętli algorytmu, wpływając na jegoprzepływ sterowania. Tak więc, choć pojedyncza iteracja pętli odbywasię zbyt szybko, by przechwycić ją akustycznie, to efekt jestpowielany i wzmacniany w tysiącach iteracji, pozwalając na wyciekdanych możliwy do wykrycia w widmie w okresie nawet kilkusetmilisekund.[img=sygnatura-klucza]Badacze po swoim odkryciu natychmiastpowiadomili deweloperów GNU Privacy Guard, przekazując im teżniezbędne informacje do zabezpieczenia tego narzędzia przezakustycznym atakiem. Artykuł został opublikowany jednocześnie zwydaniem aktualizacjiGnuPG do wersji 1.4.16, która na wydobycie klucza jest odporna.Podkreślają jednak, że wiele innych narzędzi szyfrujących jestpodatne na ten atak.To nie koniec podsłuchowej zabawy.Jeśli nie uda się z dźwiękiem, to sekrety z podsłuchiwanej maszynymożna wydobyć jeszcze na inne sposoby – przez analizęfluktuacji napięcia w sieci elektrycznej, a nawet poprzez mierzeniepotencjału elektrycznego obudowy komputera. Szczegółowy opis tychmetod znajdziecie w samymartykule.