パソコンの電位の揺らぎからRSA秘密鍵などが解析される 27
ストーリー by hylom
脆弱性は解析されたんじゃなかったっけ 部門より
脆弱性は解析されたんじゃなかったっけ 部門より
あるAnonymous Coward 曰く、
イスラエルのテルアビブ大学の研究者が、ネットやウィルス経由ではなく、物理的な方法でハッキングを行う手法を開発したそうだ。その手法とは、USBやイーサネット、HDMIなどのケーブルから伝わる微妙な電位の揺らぎからデータを読み取るというもの(GIZMODO、論文、元ネタのArs Technica記事)。
実験では、対象とするノートPCでGnuPGによる暗号化や復号を行っている作業中にPCの電極部分の電位の揺らぎを読み取り、それを解析することで作業に使用されたRSA暗号およびElGamal暗号を抜き取ることに成功したとのこと。
記事ではこのような手法を応用していけば、義手型のハッキング装置を開発してコンピュータを触るだけで乗っ取られるということもありそうだとしている。
なお、この手法を開発したのは以前パソコンの電源鳴きから4096ビットのRSA秘密鍵を解析した研究チーム。電源鳴きよりは今回の手法のほうが応用しやすそうではある。
1999年 世界一?だったRSA演算LSIの開発秘話 (スコア:4, 興味深い)
1999年に世界一高速(推定)にRSA演算できた暗号LSIは、電流や電位を解析しても秘密鍵を読みとれない。
http://www.icanal.co.jp/ESD.html [icanal.co.jp]
計算していない間も電流をながしているからだ。これは意図してそうなったわけではない。設計者が消費電流のことまで考慮する余裕がなかっただけだった。
設計者が7セグメントLEDとかの簡単な制御回路を勉強する前に、暗号プロセッサを開発することになったからだ。これは大抜擢されたわけではない、いじめで無理難題を押し付けられた。RSA演算用暗号プロセッサは、ほぼ1人で設計している。簡単なプロセッサを作ったら、たまたま、IBMのメインフレームの仕様をフルスペック実装できて世界中の銀行に売れた。世界一のRSA演算用暗号プロセッサを1人で設計したあと、会社のVHDLの講習会で7セグメントLEDなどの制御回路を勉強した。演算器については数カ月、給料をいただいて仕事として勉強させてはもらったが。
ちなみ秘密鍵の値によって計算量が変わってくるが、秘密鍵の値によらず同じ時間で計算できるアーキテクチャであることも、秘密鍵を読みとれなくしている理由になっている。
いわゆるサイドチャンネル攻撃 (スコア:3, 参考になる)
最適化との戦い (スコア:1)
長い長い、最適化との戦いが始まるわけですね。
どのようなデータに対しても均一な処理負荷となるように不要な場合でも同量の計算を行わせようとする暗号解読ルーチン実装者と、
何が何でも無駄な計算を検出して省こうとするコンパイラ&CPU設計連合との間で。
Re:最適化との戦い (スコア:1)
ノイズを乗せる方が簡単だと思う。
Re: (スコア:0)
同意。ほんのちょっとした手間で解析を台無しにできるはず。
今回の発表は、このままじゃ抜き取れちゃうからノイズ乗せを実装してね、っていう警鐘だろうね。
Re:最適化との戦い (スコア:1)
むソウカンナほわイトだとだメでス
煮たようなだみーがいいとおも
NO CARRIER
Re: (スコア:0)
オーディオオカルト業界にビジネスチャンス!
セキュリティ対策です (スコア:1)
仕事中にアニソンとかyoutubeとかニコ動とか流してるのはこういうアタックを危惧してのことですよあたりまえじゃないですかははは
そのうち、 (スコア:0)
隣の部屋でパソコンを使っているオペレータの鼻息から、明日の天気がわかるとか言い出しそうだな
Re:そのうち、 (スコア:5, おもしろおかしい)
いまでも山場は鼻息で分かるよ
いずれこうなると思ってた (スコア:0)
発電所で音質変わる世の中ですしね
Re:いずれこうなると思ってた (スコア:2)
idle task (スコア:0)
そのうち、空いているCPUは必ず何かのタスクで埋めるのが慣習になる、とか。
Re: (スコア:0)
工数余ってないのに仕事埋められ…
Re: (スコア:0)
まさか某ウイルス対策ソフトの会社はそのことを見込んで
CPU使用率を100%に
前から疑問なんだけど (スコア:0)
今時シングルタスクのPCってないわけで、裏で走ってるタスクの影響なしに電圧変動から暗号化処理の動作を推測出来るものなの?
それでなくても電圧安定させるために山ほどコンデンサも噛んでるのに、リンク先見るとあまりにも綺麗に電圧が出過ぎてて、本当かよ!?って思うんだけど。
Re:前から疑問なんだけど (スコア:2)
論文の綺麗なグラフは、電圧じゃなくて、スペクトルです。電圧変動を周波数で分解して、周波数毎の強さを可視化しています。
論文によると、一般に市販されているノートPCであれば、
2MHz付近のスペクトルを見るだけで、CPUがどの命令(掛け算ならMUL命令、足し算ならADD命令)を実行しているかが判る、とのことです。
また別実験でDellとかGatewayのような色々なメーカでスペクトルを調査していて、どのメーカでも命令の推定は可能そうだ、と主張しています。
ただ、スペクトルから推定できるのは個々の命令だけです。
あとは単なる可能性の話で、
シングルタスクでGnuPGを実行している場合ならスペクトルから鍵が推定できるとしか
著者たちは主張していません。
私も、それ以上のことは(現時点では)原理的に期待できないと思います。
というわけで
> 今時シングルタスクのPCってないわけで、裏で走ってるタスクの影響なしに電圧変動から暗号化処理の動作を推測出来るものなの?
無理。できない。
> それでなくても電圧安定させるために山ほどコンデンサも噛んでるのに、リンク先見るとあまりにも綺麗に電圧が出過ぎてて、本当かよ!?って思うんだけど。
本当(と彼らは主張している)
という感じでしょうか?
Re: (スコア:0)
2MHzというと、DCDCコンバータのスイッチング周波数ですかね。
見た感じ古いPCのようなので、IvyBridge以前のCPUでしょうか。
最新のHaswellだとCPU側にDCDCを内蔵し、100MHz超で動作してますが、これでも分かるのかな?
それとも、結局外部にDCDCがあることには変わりないから、ばれてしまうのかな?
Re: (スコア:0)
暗号用モジュールをCPUに盛り込む流れが一部あったけど影響でそうなのかなとか
あとアーキ変わってもスペクトル同じなのかなとか
PCメーカの際はないってことだけどIntelとAMDでも差異はないのかなとか
暗号系ならGPGPUでグラボも使ったら差異出るよねとか
# 旧式を使い続けるならリスクがあるよ
# 但しリアルでハックが必須なんで
# 職員チェックのほうが大事って認識でいいのかな
Re:前から疑問なんだけど (スコア:1)
Re: (スコア:0)
コンデンサによる電圧変動の吸収は常時完璧ではないからハイパスフィルタなんて物が存在する訳で。
今回の例ならCPUの要求する規定電圧内に収める所定の性能は満たしているが、1処理単位で変動するGHzオーダーの成分はそのまま微弱とはいえ通過しちゃったって話でしょう?
それに、PC性能の向上で別タスクに切り替わる前に処理が終わっちゃう可能性も十分ありえるかと。
Re:前から疑問なんだけど (スコア:2)
2MHz帯なので、電源(AC-DC電源やVRM)の電流の変動だと思いますよ。
ここら辺はある程度安定化されてますが、MHzオーダ以上では安定化されてないはずですので(最先端の7MHzとかのDC-DCコンバータICならどうだかわからないですが)。
電源制御をしても電圧が不安定になる部分をパスコンと平滑コンデンサ・後はチョークコイルで補ってるのですが、この安定動作はどうしてもCPUやメモリの電流変動の後追いになりますから。この2MHz帯に出来た隙間を覗いて動作を推測してるのでしょう。
# LANケーブルということは、LANにも漏れてるから単純な電流モードでもなさそうな感じもしますが。
Re: (スコア:0)
もうちょっと特殊な攻防に関する問題もあるんじゃないかな。
HDDが暗号化されていてロックされた状態のノートPCを盗んできた後、データを引きずり出す方法、とか。
RSAというのは単なる一例で、ノートPC上で動いている弱点のあるタスクや入り口をターゲットにして、必要なら電源も改造して解析される可能性。
ソフトウェア・ネットワーク的な完璧を目指しても、まだ弱点があるかもしれませんよ、という警告。
大昔のPCで (スコア:0)
PCで処理させるプログラムによって、ラジオに入るノイズがかわったように思います。
ラジオは最近聞いてないので今のPCではどうか知らないけど、同じようにノイズを出してそうだ。
Re: (スコア:0)
音楽演奏のエピソードですね。わかります。
http://jibun.atmarkit.co.jp/ljibun01/rensai/genesis/065/01.html [atmarkit.co.jp]
Re: (スコア:0)
安いノートPCを使ってますが、音声端子のノイズを遮断してないらしく特定の処理でノイズが乗ったりしますね。
となると・・・ (スコア:0)
冗長なランダムロジックとFakeプロセッサの出番ですな。