OpenSSL密鑰可被無線嗅探
作者:星期二, 八月 21, 20180

2018年5月發布的庫補丁你打了嗎?

如果錯過了5月發布的OpenSSL更新,趕緊回去打上:佐治亞理工學院的安全團隊利用智能手機處理器無線信號恢復出了OpenSSL密鑰,擦身而過的一瞬間,2048位的RSA密鑰便被盜了。

好消息是,該名為“One&Done”的攻擊針對的是去年11月發布的 OpenSSL 1.1.0g,而該版協議使用的庫此后已經更新過了。

研究人員只需要一個相對廉價的簡易 Ettus USRP B200 迷你接收器(售價低于1000美元)來捕捉三星Galaxy手機放出的無線信號噪音,一部阿爾卡特Ideal手機,一臺 A13-OLinuXino 單板計算機,就可以進行該攻擊。

佐治亞理工學院的聲明中,該團隊闡述稱,該攻擊是首個無需利用緩存計時或緩存組織的OpenSSL破解。

諷刺的是,該攻擊點是因為之前OpenSSL指數運算處理中潛在的邊信道漏洞而產生的。為抵御對OpenSSL指數依賴平方乘序列的攻擊,人們之前采用了所謂的“固定窗口取冪”例程。

OpenSSL GitHub 上的一條評論闡述了該漏洞:

將在今年Usenix安全大會上亮相的One&Done攻擊,利用了電磁輻射來恢復構造BN_mod_exp_consttime窗口值時通過BN_is_bit_set獲得的比特位的值。

該位上數值不同,電磁信號會略有改變,而由于對該位的查詢被高度規律的運算執行操作所包圍(固定時蒙哥馬利乘法),該攻擊能夠從隨該位數值變化的信號中分離出這(非常簡短)的一部分。

佐治亞理工學院團隊恢復出該位數值變化的成功率高于90%,并使用了改良版的“分支與整合”方法來恢復出整個RSA密鑰。

好消息是,該攻擊的緩解措施不僅相對簡單,還能提升OpenSSL的性能——可以略微縮短取冪運算的執行時間。

我們的緩解基于同時獲取到一個窗口的所有比特位,而不是一次抽取一個比特。對攻擊者而言,這意味著要從信號中抽取的值有數十億種可能性,而可用于恢復的信號樣本數量卻還是跟最初做二進制(單比特)決策時所用的相同。

“固定窗口取冪”例程論文地址:

https://pdfs.semanticscholar.org/bbc0/523ea9fa38e67dc7dc9069724c48d6160211.pdf

相關閱讀

OpenSSL的過去、現在和未來

小錯誤引發大危機——心臟出血到底是什么?

從心臟出血到量子安全,OpenSSL到底是怎樣的存在?

 

分享:
0

相關文章

寫一條評論

 

 

0條評論