パソコンの電源鳴きから4096ビットのRSA秘密鍵が解析される 55
秘密 部門より
イスラエル・テルアビブ大学の研究チームが、GnuPGが暗号文を処理する際に変化するパソコンの「電源鳴き」を取り込んで処理することで、4096ビットのRSA秘密鍵を1時間以内に解析できたそうだ(RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis、 論文PDF、 Hack a Dayの記事、 本家/.)。
多くのCPUでは与える命令や結果によって消費電力、発熱、発するノイズなどが変化し、これを観察することで実行中の命令やデータを外部から推測することができる(サイドチャネル攻撃と呼ばれる)。通常この攻撃はスマートカードや小さなセキュリティチップなどに対して行われるが、このチームでは過去に処理するRSAキーによってPCの発する音が変化することを発見していた。
今回の実験では主に高感度マイクを標的PCの排気口に向け、アンプやデータ収録(DAQ)デバイスなどを組み合わせて電源鳴きを取り込んでおり、パラボラを使用した場合には4メートル、パラボラなしでも1メートルの距離から秘密鍵を解析できるとのこと。また、平均的なスマートフォンをPCの排気ファンに向けて置く、標的PCの筐体に測定装置を持った攻撃者が触る、標的PCが接続されているLANケーブルのスイッチ側など離れたところの電位を測るなどしても同じ手法が使えることが判明しているという。鍵の解析には1時間ほどかかるが、研究チームは署名付きスパムメールを送る、常駐ソフトに隠れて内蔵マイクで録音し続ける、あるいは目標のマシンではなくスマートフォンにウイルスを送り込むなどの手法で気付かれずに攻撃が可能であるとしている。
この手法での攻撃を受けるというのは映画のスパイのような話で個人にはあまり問題にならないかもしれないが、ノートPCのような大型のシステムで電源鳴きが正確に変化するというのは興味深い結果である。
なお、秘密鍵の解析可能な脆弱性はGnuPG 1.4.16で修正済みとのこと(GnuPGのアナウンス)。
論文斜め読み + α (スコア:5, 興味深い)
論文斜め読みした。
まず前提として、4096 bitのRSAの処理には数十ミリ秒かかる。
それで、排気口から音を記録すると巨大な数の累乗を計算するルーチンが2回呼ばれているのがはっきりわかる。
鍵(である2つの巨大素数の片方。以下鍵と表記)の上位iビットまでがわかってるとして、次のような暗号文を復号させる。
・i-1ビットまでは鍵と同じ。
・iビット目は0。
・iビット目以下は全て1。
すると、ループの前にこの暗号文を鍵で割った余りを計算してループに渡すので、鍵のiビット目が1の場合は下位ビットが全て1であるような大きな値でかけ算を2048回繰り返し、0の場合は1と0が混ざった比較的小さい値でかけ算を2048回繰り返す。
この違いが音として現れるとのこと。
それで上位半分のビットがわかれば他の攻撃を使って下位の半分のビットもわかるらしい。
原理としては以上で、実際のGnuPGでやるにはいろいろ細かい工夫が必要らしいけどその辺は読んでない。
対策としては、ループに渡す前に乱数rから作った値(rのe乗。eはRSAの公開鍵の一部)を暗号文にかけておいて、復号後にrで割って戻すらしい。
Re: (スコア:0)
訳してくれたのはありがたいけど
自分のような下っ端で奴隷のコンデンサーの嘆きはそこまで上には伝わらないし
暗号鍵によって音が変わるのはピュアオーディオの常識 (スコア:4, おもしろおかしい)
真のピュアオーディオはアルゴリズム選びから始まります。
Dual_EC_DRBG 人工的な歪みを消しきれず。好みが分かれるところ。
(続き誰か頼む)
Re: (スコア:0)
まず他のタスクを止めんとな
Re:暗号鍵によって音が変わるのはピュアオーディオの常識 (スコア:1)
だからピュアオーディオはだめなんだよ。その「雑味」こそがいい音の条件だろう。
Re: (スコア:0)
平文: クリアな透明感。しかし中に人がいる [srad.jp]かのような乱反射が画竜点睛を欠く。
Re: (スコア:0)
DRM廃止は正しかったんだ!
Debianで18日にUpdateされた件がこれなのかな (スコア:3, 興味深い)
Genkin, Shamir and Tromer discovered that RSA key material could be extracted by using the sound generated by the computer during the decryption of some chosen ciphertexts.
Debian -- Security Information -- DSA-2821-1 gnupg [debian.org]
# 音楽再生すると解析されるのか?? とか思ってたのでAC
Re:Debianで18日にUpdateされた件がこれなのかな (スコア:1)
次は電源の変調で演奏するPCですね。
ノートPCのような大型のシステム (スコア:2)
例えばMac Portable?
Re:ノートPCのような大型のシステム (スコア:1)
通常この攻撃は、スマートカー…
Re: (スコア:0)
おそらくスマートフォンなどの機器が一般的なサイズとされる世界観なのでしょう。
Re:ノートPCのような大型のシステム (スコア:5, 参考になる)
タレコミにも書きましたけど、スマートフォンも大きい部類で、CPUのサイドチャネル攻撃ってたいていスマートカードとかTPMとかみたいなワンチップマイコンくらいのもので出てくる話のはずです。これを防止するために照合がどこで失敗したか分からないようにレスポンスを遅らせたり、無駄な処理を入れて分岐がどっちに行っても消費電力が合うようにしてわからないようにしたり、そういう用途のマイコンだと設計の段階で命令実行時間を揃えるとかの配慮をしたりするんだそうですが、Linuxが動いてる普通のノートパソコンはそんなのよりずっと大きいし、CISCと言ってもアウトオブオーダ実行とかマイクロコードに変換とかするだろうし、電源だって大きなコンデンサがついたりするわけで、それでもあっさり見えるというのに驚いたわけです。攻撃側としてはプロセスが増えたりすると難しくなるみたいですけど。
Re: (スコア:0)
暗号処理だけのシステムなら可能性あると思えるけど、普通はエロゲしたりエロ動画みたりしてるわけじゃないですか。解読できるのは実験室レベルじゃないのかと
Re:ノートPCのような大型のシステム (スコア:1)
まぁこの方法よりもエロ動画に攻撃性のコード仕込まれる方が怖いわな
Re: (スコア:0)
買ってね♪
Re: (スコア:0)
メビウスジャンボの事ですな。
Re: (スコア:0)
標準価格: MN-8000:820,000円
MacProなんかメじゃないな。
# 当時のMacはもっと高かったけど
Re: (スコア:0)
SPARC LTとか
Re:ノートPCのような大型のシステム (スコア:1)
富士通製のそれだけでなく、同時期に登場したTadpoleのノート型であっても大差ないです。
どっちもR3000のSony NEWSのラップトップよりは小ぶりだった(ちょっと薄かった)とはいえるが五十歩百歩。
HPとIBMはやってなかったんだよなあ。。。
IBMはRS/6000ノートあったよ (スコア:0)
IBM RS/6000 Notebook 860
Re:IBMはRS/6000ノートあったよ (スコア:1)
http://www-01.ibm.com/common/ssi/ShowDoc.wss?docURL=/common/ssi/rep_sm... [ibm.com]
1998年頃まで入手可能だったんですねえ。まったく知りませんでした。ご教示多謝。
A級アンプ (スコア:2)
パソコンの電源にも、とうとうA級アンプを搭載する時が来たのですね。
Re: (スコア:0)
ちゃんとシャントレギュレータ [wikipedia.org]と言おうよ。
セキュリティ向上のために (スコア:2)
ランダムに発熱したり振動したりするPCが出るかもしれない
# 鉛で囲った方が早いか・・・
テンペスト (スコア:1)
http://ja.wikipedia.org/wiki/%E6%BC%8F%E6%B4%A9%E9%9B%BB%E7%A3%81%E6%B3%A2 [wikipedia.org]
#それだけ
Re:テンペスト (スコア:1)
んーと、内閣官房情報セキュリティセンターの出している「政府機関の情報セキュリティ対策のための統一管理基準(平成24年度版)」解説書 [nisc.go.jp]のうしろから2ページ目には「無線LANの傍受対策(テンペスト対策)」とかありまして…。
総務省だけじゃなかった。
Jubilee
Re: (スコア:0)
一方ロシアはタイプライターを使った
GnuPG 1.4.16で修正済み (スコア:0)
ソフトウェアで対策可能な脆弱性だというのも驚き
Re:GnuPG 1.4.16で修正済み (スコア:1)
多分わざと消費電力を増やしたりして混乱させるのでは?
Re:GnuPG 1.4.16で修正済み (スコア:5, 参考になる)
アナウンスによるとRSA blindingという手法を使っているらしい。
https://en.wikipedia.org/wiki/Blinding_(cryptography) [wikipedia.org]
なるほどわからん
Re:GnuPG 1.4.16で修正済み (スコア:2, 参考になる)
もちろん、この前処理は、暗号と整合性がないと元に戻せないので、何でも利用できるわけではありませんが。
ということが、Wikipediaにもアリスとボブのいつもの体で書かれています。
Re:GnuPG 1.4.16で修正済み (スコア:5, 参考になる)
もちょっと具体的なのがたぶんこちらですね。
https://en.wikipedia.org/wiki/Blind_signature#Blind_RSA_signatures.5B2.5D:235 [wikipedia.org]
関数f によっては y=f(x) の時、y=D(f(E(x)))となる関数D, Eが存在し、RSAもそれであると。
で、今回の秘密鍵解析手法では、秘密鍵で処理させる時の音を解析するわけですが、この時、処理させるデータは何でも良い訳じゃなく、解析用に作ったデータである必要があるようです。
そんなわけで、この修正により解析用データを送りつけても、前処理(しかもランダム値を元にしている)で変換された後のデータに対して秘密鍵を用いた処理が行われるため、解析が不可能になっている、ということだと思います。
#たぶん
Re:GnuPG 1.4.16で修正済み (スコア:2, 参考になる)
アリスとボブ [wikipedia.org]が記事にまでなっててワロタ
Re: (スコア:0)
甲介、乙次郎、丙吉
とか使ったほうがわかりやすいかもしれんね。
# たいていは甲介が乙次郎にメッセージを送ることにしよう。
Re: (スコア:0)
ICカードの耐タンパ性の確保とか見てるとそうでもないんじゃね
Re: (スコア:0)
可能かどうかより、よく思いついたなあと思うけど。
しばらくいろいろ研究してたとか言うならわかるけど、そんなにすぐ思いつくものでもないだろ。
頭のいい人ってすごいな。
Re: (スコア:0)
GnuPG 2.xは論文が公表される以前からRSA blindingを採用済みで、影響を受けなかったそうな。つまりこの攻撃に対策するために急いで考案された手法じゃないよ。まあそれでもすごいと思うけど。
eagle eye思い出した (スコア:0)
2001年宇宙の旅の流れを忠実に踏襲したAIネタ。カップの波から会話盗聴。
Re:eagle eye思い出した (スコア:1)
AカップからIカップまでならサイズまでバレるんかっ。
コイル鳴きをこれまでの製品に比べて大幅に抑えた電源 (スコア:0)
エルミタージュ秋葉原 – 完全無音も狙える準ファンレス電源ユニットCORSAIR「RM850」
http://www.gdm.or.jp/review/2013/1218/54404 [gdm.or.jp]
ベトナム戦争時に米軍は (スコア:0)
ベトコンさんの車両を発見するためにエンジンから発生する電磁波を
観測して発見していた。
なぜ日本の哨戒ではあの国からの工作船を電磁波を観測して発見しないのか
Re:ベトナム戦争時に米軍は (スコア:2)
工作船って、最近も来てるんでしょうか。気づいてなかったからどんどん拉致されてたのかもしれないし、気づいて対策してしまえば二度と来ない(対策やめると来る)からやっても意味はないとかかも…
金がないのは首がないのとおんなじ (スコア:0)
技術的に可能で実際に配備されていたとしても、絶対数が少ないとすべての海域を監視するのは困難です。
Re:金がないのは首がないのとおんなじ (スコア:1)
そもそも工作船かどうか、電磁波からでは判断つかないかと…。
洋上の船の所属をすべて把握するか、長時間にわたって動向を把握しないと
不審かどうか識別できない。
[Q][W][E][R][T][Y]
Re: (スコア:0)
Re: (スコア:0)
不審船から工作船にレベルアップしたのは政治情勢の変化によるものでしょ。反日政党が野党第一党でチョウセンミンシュシュギジンミンキョウワコクという枕詞をつけないと北朝鮮と呼ぶことすらできなかったとか悪い冗談みたいだ。当時なら北朝鮮が打ち上げたものもあくまでロケットということで済んでいたでしょう。
Re: (スコア:0)
なぜなら、工作船の動力が人力だからだ。
#熱感知以外は感知不能
#(更に工作員は体温を気温と同化する特殊能力を持つと言う。つまりゾンビ?)
やっぱりあの噂は本当だったんだ (スコア:0, 荒らし)
電力会社で音質が変わるという。
嘘とか言っていた奴いたなw
Re: (スコア:0)
水力発電の音が好きだなw