Наука и технологии - Информационная безопасность

Специалисты по безопасности электронных систем раскрыли способ кражи криптографических ключей, используемых для шифрования информации в телекоммуникационных сетях и аутентификации пользователей мобильных устройств, который заключается в измерении количества потребляемой энергии или анализе побочного электромагнитного излучения.

Как объяснил вице-президент направления технологий компании Cryptography Research Бенджамин Джан (Benjamin Jun), атака, известная как дифференциальный анализ мощности (differential power analysis, DPA), может быть использована против ничего не подозревающего человека как с помощью специального оборудования для измерения создаваемого электроникой электромагнитного "шума", так и присоединением сенсора к цепи питания устройства. Затем посредством осциллографа осуществляется анализ на предмет корреляции между характеристиками сигнала и производимыми устройством криптографическими операциями.

"Когда чип производит криптографические вычисления, он так или иначе использует секретный ключ. В результате происходит утечка информации о ключе, которую можно зафиксировать через энергопотребление", - пояснил Джан. Например, заинтересованное лицо с соответствующим оборудованием способно получить технические детали о шифровании от устройства на расстоянии 1 м где-нибудь в кафе за несколько минут. Злоумышленник может воспроизвести ключ и прочитать конфиденциальную информацию либо попытаться подменить истинного владельца портативного аппарата при совершении транзакций. Уязвимыми являются смартфоны и КПК, несмотря на присутствие в них защиты против подобных атак. Эксперт не стал уточнять, с какими именно моделями устройств их обладатели подвержены риску, но заявил, что ему неизвестно об использовании сегодня где-либо такого метода. "Я думаю, применять его начнут против смартфонов в первую очередь. Атака вовсе не теоретическая", - заметил Джан.

Впервые же о реальности техники стало известно ещё 10 лет назад, только относительно кассовых аппаратов. Контрмеры – это внесение случайных значений в операции криптографии, чтобы увеличить количество "шума", или изменение способов обработки электроникой критических данных.

Элтайм.ру, по материалам 3Dnеws