Útok načasování je typ útoku postranním kanálem v oblasti kybernetické bezpečnosti, který využívá odchylky času potřebného k provedení kryptografických algoritmů. Analýzou těchto rozdílů v načasování mohou útočníci odvodit citlivé informace o používaných kryptografických klíčích. Tato forma útoku může ohrozit bezpečnost systémů, které se při ochraně dat spoléhají na kryptografické algoritmy.
Při útoku načasování útočník měří čas potřebný k provedení kryptografických operací, jako je šifrování nebo dešifrování, a používá tyto informace k odvození podrobností o kryptografických klíčích. Základním principem je, že různé operace mohou trvat mírně odlišnou dobu v závislosti na hodnotách zpracovávaných bitů. Například při zpracování 0 bitu může operace trvat méně času ve srovnání se zpracováním 1 bitu kvůli vnitřnímu fungování algoritmu.
Načasování útoků může být obzvláště účinné proti implementacím, které postrádají vhodná protiopatření ke zmírnění těchto zranitelností. Jedním z běžných cílů útoků na časování je algoritmus RSA, kde modulární operace umocňování může vykazovat změny časování založené na bitech tajného klíče.
Existují dva hlavní typy časových útoků: pasivní a aktivní. Při pasivním časovacím útoku útočník pozoruje časovací chování systému, aniž by jej aktivně ovlivňoval. Na druhou stranu, útok s aktivním načasováním znamená, že útočník aktivně manipuluje se systémem, aby zavedl časové rozdíly, které lze zneužít.
Aby se zabránilo útokům načasování, musí vývojáři implementovat postupy bezpečného kódování a protiopatření. Jedním přístupem je zajistit, aby kryptografické algoritmy měly implementaci s konstantním časem, kde doba provádění nezávisí na vstupních datech. To eliminuje časové rozdíly, které by útočníci mohli zneužít. Zavedení náhodných zpoždění nebo oslepujících technik navíc může pomoci zatemnit informace o načasování dostupné potenciálním útočníkům.
Útoky načasování představují významnou hrozbu pro bezpečnost kryptografických systémů, protože využívají odchylky v načasování při provádění algoritmu. Pochopení principů načasování útoků a implementace vhodných protiopatření jsou zásadní kroky při ochraně citlivých informací před zlomyslnými aktéry.
Další nedávné otázky a odpovědi týkající se Pokročilé zabezpečení počítačových systémů EITC/IS/ACSS:
- Jaké jsou některé aktuální příklady nedůvěryhodných úložných serverů?
- Jaké jsou role podpisu a veřejného klíče v zabezpečení komunikace?
- Je zabezpečení souborů cookie dobře v souladu se SOP (zásady stejného původu)?
- Je možný útok typu cross-site request forgery (CSRF) jak s požadavkem GET, tak s požadavkem POST?
- Je symbolické provedení vhodné k nalezení hlubokých chyb?
- Může symbolické provedení zahrnovat podmínky cesty?
- Proč jsou mobilní aplikace provozovány v zabezpečené enklávě v moderních mobilních zařízeních?
- Existuje přístup k hledání chyb, u kterého lze prokázat bezpečnost softwaru?
- Využívá technologie bezpečného spouštění v mobilních zařízeních infrastrukturu veřejných klíčů?
- Existuje mnoho šifrovacích klíčů na souborový systém v moderní zabezpečené architektuře mobilních zařízení?
Zobrazit další otázky a odpovědi v EITC/IS/ACSS Advanced Computer Systems Security