パスワードを忘れた? アカウント作成
11570073 story
暗号

パソコンの電位の揺らぎからRSA秘密鍵などが解析される 27

ストーリー by hylom
脆弱性は解析されたんじゃなかったっけ 部門より
あるAnonymous Coward 曰く、

イスラエルのテルアビブ大学の研究者が、ネットやウィルス経由ではなく、物理的な方法でハッキングを行う手法を開発したそうだ。その手法とは、USBやイーサネット、HDMIなどのケーブルから伝わる微妙な電位の揺らぎからデータを読み取るというもの(GIZMODO論文、元ネタのArs Technica記事)。

実験では、対象とするノートPCでGnuPGによる暗号化や復号を行っている作業中にPCの電極部分の電位の揺らぎを読み取り、それを解析することで作業に使用されたRSA暗号およびElGamal暗号を抜き取ることに成功したとのこと。

記事ではこのような手法を応用していけば、義手型のハッキング装置を開発してコンピュータを触るだけで乗っ取られるということもありそうだとしている。

なお、この手法を開発したのは以前パソコンの電源鳴きから4096ビットのRSA秘密鍵を解析した研究チーム。電源鳴きよりは今回の手法のほうが応用しやすそうではある。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2014年09月18日 20時42分 (#2679131)

    1999年に世界一高速(推定)にRSA演算できた暗号LSIは、電流や電位を解析しても秘密鍵を読みとれない。
    http://www.icanal.co.jp/ESD.html [icanal.co.jp]
    計算していない間も電流をながしているからだ。これは意図してそうなったわけではない。設計者が消費電流のことまで考慮する余裕がなかっただけだった。
    設計者が7セグメントLEDとかの簡単な制御回路を勉強する前に、暗号プロセッサを開発することになったからだ。これは大抜擢されたわけではない、いじめで無理難題を押し付けられた。RSA演算用暗号プロセッサは、ほぼ1人で設計している。簡単なプロセッサを作ったら、たまたま、IBMのメインフレームの仕様をフルスペック実装できて世界中の銀行に売れた。世界一のRSA演算用暗号プロセッサを1人で設計したあと、会社のVHDLの講習会で7セグメントLEDなどの制御回路を勉強した。演算器については数カ月、給料をいただいて仕事として勉強させてはもらったが。
    ちなみ秘密鍵の値によって計算量が変わってくるが、秘密鍵の値によらず同じ時間で計算できるアーキテクチャであることも、秘密鍵を読みとれなくしている理由になっている。

  • by shesee (27226) on 2014年09月18日 17時26分 (#2678982) 日記
    GND電位のゆらぎから、CPUのALUの動作状況を推測できるという実証ぽい。ある程度前提があって、一部の暗号の実装で鍵に使用する素数の長さと処理時間の長さに相関があって、かつ同じ鍵を何度も繰り返して使用する愚を犯した場合、処理時間から使用した既知の素数がある程度絞り込める。
  • by Anonymous Coward on 2014年09月18日 17時04分 (#2678971)

    長い長い、最適化との戦いが始まるわけですね。

    どのようなデータに対しても均一な処理負荷となるように不要な場合でも同量の計算を行わせようとする暗号解読ルーチン実装者と、
    何が何でも無駄な計算を検出して省こうとするコンパイラ&CPU設計連合との間で。

  • by Anonymous Coward on 2014年09月19日 10時47分 (#2679365)

    仕事中にアニソンとかyoutubeとかニコ動とか流してるのはこういうアタックを危惧してのことですよあたりまえじゃないですかははは

  • by Anonymous Coward on 2014年09月18日 16時58分 (#2678967)

    隣の部屋でパソコンを使っているオペレータの鼻息から、明日の天気がわかるとか言い出しそうだな

  • by Anonymous Coward on 2014年09月18日 17時01分 (#2678968)

    発電所で音質変わる世の中ですしね

  • by Anonymous Coward on 2014年09月18日 17時10分 (#2678976)

    そのうち、空いているCPUは必ず何かのタスクで埋めるのが慣習になる、とか。

    • by Anonymous Coward

      工数余ってないのに仕事埋められ…

    • by Anonymous Coward

      まさか某ウイルス対策ソフトの会社はそのことを見込んで
      CPU使用率を100%に

  • by Anonymous Coward on 2014年09月18日 17時46分 (#2679002)

    今時シングルタスクのPCってないわけで、裏で走ってるタスクの影響なしに電圧変動から暗号化処理の動作を推測出来るものなの?
    それでなくても電圧安定させるために山ほどコンデンサも噛んでるのに、リンク先見るとあまりにも綺麗に電圧が出過ぎてて、本当かよ!?って思うんだけど。

    • 論文の綺麗なグラフは、電圧じゃなくて、スペクトルです。電圧変動を周波数で分解して、周波数毎の強さを可視化しています。

      論文によると、一般に市販されているノートPCであれば、
      2MHz付近のスペクトルを見るだけで、CPUがどの命令(掛け算ならMUL命令、足し算ならADD命令)を実行しているかが判る、とのことです。
      また別実験でDellとかGatewayのような色々なメーカでスペクトルを調査していて、どのメーカでも命令の推定は可能そうだ、と主張しています。

      ただ、スペクトルから推定できるのは個々の命令だけです。
      あとは単なる可能性の話で、
      シングルタスクでGnuPGを実行している場合ならスペクトルから鍵が推定できるとしか
      著者たちは主張していません。

      私も、それ以上のことは(現時点では)原理的に期待できないと思います。

      というわけで
      > 今時シングルタスクのPCってないわけで、裏で走ってるタスクの影響なしに電圧変動から暗号化処理の動作を推測出来るものなの?
      無理。できない。

      > それでなくても電圧安定させるために山ほどコンデンサも噛んでるのに、リンク先見るとあまりにも綺麗に電圧が出過ぎてて、本当かよ!?って思うんだけど。
      本当(と彼らは主張している)

      という感じでしょうか?

      親コメント
      • by Anonymous Coward

        2MHzというと、DCDCコンバータのスイッチング周波数ですかね。
        見た感じ古いPCのようなので、IvyBridge以前のCPUでしょうか。
        最新のHaswellだとCPU側にDCDCを内蔵し、100MHz超で動作してますが、これでも分かるのかな?
        それとも、結局外部にDCDCがあることには変わりないから、ばれてしまうのかな?

      • by Anonymous Coward

        暗号用モジュールをCPUに盛り込む流れが一部あったけど影響でそうなのかなとか
        あとアーキ変わってもスペクトル同じなのかなとか
        PCメーカの際はないってことだけどIntelとAMDでも差異はないのかなとか
        暗号系ならGPGPUでグラボも使ったら差異出るよねとか

        # 旧式を使い続けるならリスクがあるよ
        # 但しリアルでハックが必須なんで
        # 職員チェックのほうが大事って認識でいいのかな

    • マルチタスクでもバススヌープやコンテキストスイッチのパターンを特定できればある程度は可能かもしれん。マルチコアはどうなんだろう。グランドを取るサンプル点を増やせば、CPUのグランドピンとコアの場所の偏在から分離は不可能じゃ無いかも。可能性としては
      親コメント
    • by Anonymous Coward

      コンデンサによる電圧変動の吸収は常時完璧ではないからハイパスフィルタなんて物が存在する訳で。
      今回の例ならCPUの要求する規定電圧内に収める所定の性能は満たしているが、1処理単位で変動するGHzオーダーの成分はそのまま微弱とはいえ通過しちゃったって話でしょう?
      それに、PC性能の向上で別タスクに切り替わる前に処理が終わっちゃう可能性も十分ありえるかと。

      • 2MHz帯なので、電源(AC-DC電源やVRM)の電流の変動だと思いますよ。
        ここら辺はある程度安定化されてますが、MHzオーダ以上では安定化されてないはずですので(最先端の7MHzとかのDC-DCコンバータICならどうだかわからないですが)。
        電源制御をしても電圧が不安定になる部分をパスコンと平滑コンデンサ・後はチョークコイルで補ってるのですが、この安定動作はどうしてもCPUやメモリの電流変動の後追いになりますから。この2MHz帯に出来た隙間を覗いて動作を推測してるのでしょう。
        # LANケーブルということは、LANにも漏れてるから単純な電流モードでもなさそうな感じもしますが。

        親コメント
    • by Anonymous Coward

      もうちょっと特殊な攻防に関する問題もあるんじゃないかな。
      HDDが暗号化されていてロックされた状態のノートPCを盗んできた後、データを引きずり出す方法、とか。

      RSAというのは単なる一例で、ノートPC上で動いている弱点のあるタスクや入り口をターゲットにして、必要なら電源も改造して解析される可能性。

      ソフトウェア・ネットワーク的な完璧を目指しても、まだ弱点があるかもしれませんよ、という警告。

  • by Anonymous Coward on 2014年09月18日 20時18分 (#2679118)

    PCで処理させるプログラムによって、ラジオに入るノイズがかわったように思います。
    ラジオは最近聞いてないので今のPCではどうか知らないけど、同じようにノイズを出してそうだ。

  • by Anonymous Coward on 2014年09月19日 1時08分 (#2679238)

    冗長なランダムロジックとFakeプロセッサの出番ですな。

typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...