Специалист в области информационной безопасности из Тель-Авивского университета Эран Тромер (Eran Tromer) разработал оригинальную методику атаки на ассиметричные системы шифрования. Они могут выполняться скрыто и позволяют узнавать секретные ключи за несколько секунд без явного вмешательства.

Для обеспечения электромагнитной совместимости всех компонентов компьютера используется система опорного потенциала (масса), представляющая собой общий обратный провод всех электрических контуров. Потенциал массы принимается за точку отсчёта или ноль, однако на практике он изменяется в небольших пределах в зависимости от характера нагрузки.

Спектрограмма изменений потенциала, снятая с ноутбука Lenovo 3000 N200. Горизонтальная ось отображает частоту (МГц), вертикальная – время регистрации сигнала. Его интенсивность пропорциональна мгновенной энергии в данной полосе частот (изображение: Eran Tromer).
Спектрограмма изменений потенциала, снятая с ноутбука Lenovo 3000 N200. Горизонтальная ось отображает частоту (МГц), вертикальная – время регистрации сигнала. Его интенсивность пропорциональна мгновенной энергии в данной полосе частот (изображение: Eran Tromer).

В своей работе Тромер показал, что для проведения атаки на системы шифрования с открытым ключом достаточно измерить колебания потенциала на любом заземляющем контакте компьютера или ноутбука во время процедуры дешифрования с помощью секретного ключа.

В зависимости от выполняемых процессором вычислений он будет изменяться на десятки милливольт. Внешне процесс измерения выглядит как простое прикосновение к металлическим элементам корпуса ноутбука или одному из его портов. Оно может выполняться любым токопроводящим предметом или даже голыми руками.

Регистрация изменений потенциала прикосновением к портам ноутбука (изображение: cs.tau.ac.il).
Регистрация изменений потенциала прикосновением к портам ноутбука (изображение: cs.tau.ac.il).

В ходе эксперимента Эран регистрировал таким образом сигнал на частоте 2 МГц. Держа в руке металлический предмет, он прикасался им к заземляющим контактам в портах ноутбука (USB, Ethernet, VGA). Сигнал считывался с другой руки и поступал на усилитель, а затем оцифровывался. Несмотря на сильные помехи, после программной фильтрации ему удалось точно вычислить секретные ключи в криптосистеме RSA (длиной 4096 бит) и Эль-Гамаля (3072 бита) за несколько секунд.

Резюмируя исследование Эран отмечает, что такая атака может выполняться скрыто. Малозаметные выводы для регистрации изменений потенциала на заземляющих контактах ноутбука могут быть встроены в подставки, столы и Ethernet-кабели в местах публичного доступа.

Практическая реализация схемы скрытого перехвата ключей с использованием подключения к экрану кабеля Ethernet и  смартфона для оцифровки сигнала (фото: tau.ac.il).
Практическая реализация схемы скрытого перехвата ключей с использованием подключения к экрану кабеля Ethernet и смартфона для оцифровки сигнала (фото: tau.ac.il).

Механизм атаки на физическом уровне кажется настолько простым, что заставляет усомниться в его практической реализуемости. Однако данная работа – вовсе не первая попытка восстановить криптографические ключи по косвенным признакам и различным изменениям в работе компьютера.

Ранее криптоаналитики пытались установить связь между характером энергопотребления процессора и выполняемыми им вычислениями. На большинстве материнских плат в схеме питания ЦП используется несколько фаз и управляющий балансировкой нагрузки VRM-модуль. Предполагалось, что с помощью точного и непрерывного мониторинга изменений в подсистеме питания можно получить представление о данных обрабатываемых процессором в данный момент.

Насколько мне известно, вычислить ключи таким образом пока не удалось, однако результаты этих работ нашли применение в смежной отрасли. Компания Power Fingerprinting Cybersecurity из штата Вирджиния адаптировала эту методику для выявления несанкционированных изменений в программном обеспечении – в частности, определения факта заражения и внедрения троянских компонент.

Детектирование аномальной активности по анализу  характера энергопотребления (изображение: powerfingerprinting.com).
Детектирование аномальной активности по анализу характера энергопотребления (изображение: powerfingerprinting.com).

Год назад Эран Тромер продемонстрировал другой подобный способ. Ключи, пароли и другие приватные данные вычислялись по изменению акустической картины, создаваемой отдельными компонентами компьютера во время их обработки.

Реклама на Компьютерре

По своей сути это дальнейшее развитие техники «медвежатников», выслушивавших работу механизма сейфового замка при переборе комбинаций. Принципиальная разница здесь в том, что в отличие от сейфа компьютер – активный компонент, который сам охотно сообщает любые данные. Надо суметь лишь выделить их из общего шума и превратить в осмысленную информацию.

Наверняка многие из вас слышали неприятный писк, иногда появляющийся при загрузке ресурсоёмких программ, прокрутке страниц или масштабировании изображений. Его появление связано с тем, что отдельные элементы материнской платы во время работы испытывают микровибрации и оказывают электромагнитное влияние друг на друга. Вместе они создают высокочастотный свист, большая часть которого лежит в диапазоне выше 20 КГц и не воспринимается человеческим ухом. В определённых ситуациях акустический спектр расширяется и становится ощутимым. Сам характер этих звуков тоже зависит от выполняемых в данный момент вычислений, а следовательно – несёт в себе информацию о передаваемых данных.

Акустический перехват криптографических ключей направленным микрофоном (фото: tau.ac.il).
Акустический перехват криптографических ключей направленным микрофоном (фото: tau.ac.il).

Вместе с Ади Шамиром (одним из соавторов алгоритма RSA) Эран Тромер опубликовал исследование о влиянии выполняемых вычислений на акустическую картину работающего компьютера. В нём было показано, что с подходящим оборудованием (микрофоны, усилители) соотношение сигнал/шум оказывается достаточным, чтобы по изменениям высокочастотного свиста вычислить секретные ключи системы RSA и получить другие приватные данные. Чувствительные микрофоны обеспечивали уверенный перехват на расстоянии до четырёх метров.

Самой сложной частью эксперимента стало написание программы, интерпретирующей оцифрованную звукозапись и выделяющей из общей картины искомые данные по характерным шаблонам (паттернам).

Эта работа была профинансирована институтом информационной безопасности компании Check Point и стала важным этапом в изучении криптографических атак физического уровня. Оборудование и техническую поддержку авторы получили от израильского Министерства науки и техники.

За последние двенадцать лет Тромер опубликовал более сорока научных статей о нетривиальных способах атаки на различные системы шифрования и генераторы случайных чисел. Большинство из них написаны в соавторстве с ведущими специалистами по криптографии и разработчиками популярных алгоритмов шифрования.

Публичная демонстрация нового метода уже была проведена на конференции CRYPTO 2014 в Санта-Барбаре. Подробнее результаты исследования будут представлены в сентябре на международной конференции по криптографии в Южной Корее.