パソコンの発する電磁波をAMラジオで受信してRSA秘密鍵などを解析

パソコンの発する電磁波をAMラジオで受信してRSA秘密鍵などを解析 32

ストーリー by headless 2015年06月21日 11時31分
受信部門より

これまでパソコンの電源鳴きや電位の揺らぎを利用してRSA秘密鍵などの解析に成功しているイスラエル・テルアビブ大学の研究チームが、市販のAMラジオを使用したサイドチャネル攻撃でRSA秘密鍵およびElGamal秘密鍵の読み取りに成功していたそうだ(研究チームによる解説記事、論文: PDF、 The Registerの記事)。

研究チームでは、GnuPGで復号を実行する際、パソコンが発する電磁波の周波数が変動し、1.5～2MHzのFM波として受信可能な点に注目。そこで、USB接続のSDR(ソフトウェア無線)受信機ドングルとループアンテナ、ノートパソコンを組み合わせてターゲットの秘密鍵解析を試みたところ、3072ビットElGamal秘密鍵と4096ビットRSA秘密鍵をそれぞれ数秒で取得できたという。また、SDRドングルとループアンテナ、OSをDebianに変更したAndroid TVドングルを使用し、ピタパンに組み込み可能なポータブル型読み取り装置(PITA)も作成している。こちらもノートパソコンを使用した場合と同様のパフォーマンスが得られたとのこと。

PITAは安価に作成できるが、SDRドングルを購入する必要がある。一般的な家庭用品で電磁波の読み取りを可能にするため、研究チームはポータブルラジオで受信した音声をスマートフォンで録音する仕組みを考案。ポータブルラジオにはFM放送の受信が可能なものもあるが、読み取りを行う電磁波は中波帯のため受信できない。そのため、AM受信機のチューニングを少しずらしてFM/AMコンバーターのような働きをさせることで、データの取得が可能になったという。

なお、実験に使用したGnuPGはバージョン1.4.18。Libgcrypt 1.6.2にも同様の脆弱性があるという。ただし、研究チームでは事前に脆弱性の存在をGnuPGの開発者に連絡しており、論文が公表された2月27日には修正版のGnuPG 1.4.19およびLibgcrypt 1.6.3が公開されている。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索32コメント Log In/Create an Account

ノイズで音楽 (スコア:5, 興味深い)

by sameshima (10060) on 2015年06月21日 13時52分 (#2834581) 日記

まだCPUにキャッシュとかがない頃

0x0~0x00f番地あたりでタイマループ

0xff0 にジャンプ

0xff0~0xfffでタイマループ

0x000にジャンプ

のようなプログラムでタイマの値を音テーブルからもってくると、近くにおいたラジオで聞こえるノイズが音楽になるってのをアイドリングループに仕込んだことがあります。
8bitだと1音だったのですが、MC68kでループ2個くみあわせて2音だせたのでバッハのインベンションを仕込めて、処理能力の高さを実感しました。(クロックは6MHzだっけか？）
- Re:ノイズで音楽 (スコア:1)
  
  by Anonymous Coward on 2015年06月21日 17時15分 (#2834634)
  
  MUSIC OF A SORT [vintagecomputer.net][動画 [kevindriscoll.org]]みたいなことやられたってことですか
  
  シェア
  
  親コメント
  - Re:ノイズで音楽 (スコア:2)
    
    by sameshima (10060) on 2015年06月22日 0時38分 (#2834797) 日記
    
    おーー。元ネタたぶんこれです。子供のころ兄におそわりました。８０８０だと全速力で音楽を奏でることになりますが、68Kだと余裕があって上司に報告したらすんなり組み込みOKがでました。
    プロセッサが仕事中はピロピロ言ってて、暇になると音楽（バッハ）が聞こえる。ラジオを聴きながら仕事していたので、ピロピロ音でどの辺を処理しているかわかるようになりました。のんびりした時代でした。
    なんでFMでもAMでも音楽が聴こえるんだ？って話になって、アドレスラインが音楽のベースバンド信号で、そいつとバスドライバのリンギングやらなにやらが入力保護ダイオードなどの非線形歪で掛け算変調がかかる（AMも）という説明をしていました。今だったらプロセッサのビヘイビアモデルとSpiceモデルでリアルタイムシミュレーションで再現できるかも。
    
    シェア
    
    親コメント
これか？ (スコア:2)

by bikeman (14466) on 2015年06月21日 14時25分 (#2834590)

うちのページへのアクセスが急に増えたんで、なんだろうと思ってた。
テンペストはディスプレイの画面を離れた場所から覗くことだったけど、これはキーボードから出る電磁波を、SDRで受信、復号している。いまならキーボードはＵＳＢ接続なので、ＵＳＢのプロトコルを見ているんだろうか？　元のページをよく読んでいないのでわからんけど。
- Re:これか？ (スコア:2)
  
  by matlay (32743) on 2015年06月21日 18時24分 (#2834645) 日記
  
  研究チームによる解説記事 [tau.ac.il]
  を本当に斜め読みした感じだと、CPUで実行中の命令はFM波の測定でわかるみたい。(Q&A Q1の画像)
  それができれば、論理的にはGnuPGが動く際のパターンを認識して解析すればできる....かな？
  命令がわかってもオペランドわかるんかいと思うんだけど、わかる前提で書いてあるような気がする。GnuPG内部の処理がトレースできるのであれば、できるような気がする。
  実際は一発では確実でなくて、何回か測定して、確率的にあたりがある程度のように思える。
  #論文まで読めば書いてあるかな？
  対策は
  １．ジャミングすればいいんじゃないのぉ〜
  ２．そもそも、そんな怪しいもん（アンテナ）を近づけんな
  ３．ソフトウェア的対策はどうなんだろうね。ソース公開してる限り無理な気がするんだけど
  　　（複数CPU前提で常に同時に何か動かすようにする？超変態コーディングで毎回動く命令パターンを変える？)
  ４．光コンピュータにすれば解決
  ５．ノイマン型のモデルを捨てる
  
  --
  #存在自体がホラー
  
  シェア
  
  親コメント
  - Re:これか？ (スコア:1)
    
    by matlay (32743) on 2015年06月21日 20時05分 (#2834680) 日記
    
    論文: PDF [tau.ac.il]もさーっと眺めてみたけど、書いてある事はあまり変わらんような気がする。
    ・コンパイラのバージョンなどの記述があった。よく考えたら、コンパイラとかいろいろな条件で限定されるよね多分
    ・成功率については書いてなかったような
    ・ソフトウェア的対策は 4 Discussion 以下に書いてあるような
    　GnuPG内で計算処理中に変換テーブル使用している箇所があるのが脆弱性だから横着すんな
    　という話なのか？
    #英語読める人、後たのんだ
    
    --
    #存在自体がホラー
    
    シェア
    
    親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    Q7の所がその辺の解説かなぁ？
    ・処理させるデータをいじくって鍵の絡む演算の周期や内容を揃えるか何かして、
    同じパターンの繰り返しによって分析しやすい特徴量が吐き出されるよう誘導する。
    ・データや鍵によって実行される命令が変化してしまう部分が存在するので、
    その分岐を誘導することで鍵の情報を実行される命令の選択から逆算する。
    ってことだろうか。
    >命令がわかってもオペランドわかるんかい
    オペランド(もとい、データや鍵)によって命令が変化しちゃう部分が(減らす努力はされてるものの)存在しているので、
    適切に加工したデータによって「鍵によって命令が変化する」よう誘導し、実行されたオペランドから鍵を展開する、と。
    この場合、データや鍵によって命令が変化しないように(繰り上がり処理の打ち切りみたいなことを止める)すれば良いという事なのだろうか。
    - Re:これか？ (スコア:1)
      
      by matlay (32743) on 2015年06月29日 0時46分 (#2838650) 日記
      
      ありがとうございます。読み飛ばしてました。（ひどいな）
      それは入力データを任意に選択しないと成り立たないという事になるのだろうか？
      "poisoned value"ってなんじゃいと気にはなっていたのですが、そういう事なのだろうか？
      #それは脆弱性なのだろうか？
      繰り上がり処理の打ち切りみたいなことを止めるってのは論文内のtableに繋がるんかな
      #群盲が象を撫でるような感じですが。少なくとも私は盲も同然で
      
      --
      #存在自体がホラー
      
      シェア
      
      親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  どこからキーボードが出てきたの
  - Re:これか？ (スコア:2)
    
    by bikeman (14466) on 2015年06月21日 20時49分 (#2834706)
    
    2MHz付近のFM、だけしか知らなかったんで、PS/2かUSBだろうと思ってた。
    CPUの動作周波数はGHzなんで、なぜ下の周波数に現れるのか不思議。
    
    シェア
    
    親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      2GHzのCPUで、1000クロックで一回りのループを繰り返せば2MHzが出てくるのでは？
スロープ検波 (スコア:1)

by Anonymous Coward on 2015年06月21日 15時45分 (#2834615)

> AM受信機のチューニングを少しずらしてFM/AMコンバーターのような働きをさせることで、データの取得が可能になったという。
これはかつてFMラジオの回路が初心者アマチュアには複雑で高価だった時代に使われたロストテクノロジー、スロープ検波ですな。
デジャヴ (スコア:0)

by Anonymous Coward on 2015年06月21日 12時33分 (#2834542)

だからなんでソフトウェアで対策できるのか想像を絶する。
前回 [security.srad.jp]
- Re: (スコア:0)
  
  by Anonymous Coward
  
  素人なりにふと思いついた素朴な疑問と対策方から議論の喚起を期待して書いてみました。
  こういった「デジタル盗聴でないアナログ傍受式」って「正解の判明しているサンプルターゲット」から取得した膨大な量のアナログデータを正解と照らし合わせながら解析したデータを元にデコードするんだと思うのですが、
  そもそも標的のマシン上で同様な複数の復号の実行が同時に走っている状況でも機能するんでしょうか？ってのが素朴な疑問。
  つまり別々の複合が同じマシン上で３つ同時に走らせた場合、こうした傍受方式ってその３つの分解能が有るんだろうか？
  単純に考えれば結果として周波数変動のパターンが全然違ってきちゃうと思うので、区別できないのであれば、ダミーを同時に複数実行する処理を入れるだけでもソフトウェアで対策できるかな～と思った次第です。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    元論文に全部書いてあります。気になるならグダグダ言わずに読みましょう。
    - Re:デジャヴ (スコア:1)
      
      by matlay (32743) on 2015年06月22日 8時31分 (#2834844) 日記
      
      すいません、読んだんだけど、頭が疲れてちょっと気力が持続しなかった。
      4 Discussion 以下の話なんだけど、あれって、table がどうのと書いてあったような気がするんだけど、暗号化途中の計算で変換テーブル使ってるからまずいっていう話なのか？
      まあ、修正されたGnuPGのdiff見ればわかるか。
      
      --
      #存在自体がホラー
      
      シェア
      
      親コメント
    - - Re:デジャヴ (スコア:1)
        
        by Anonymous Coward on 2015年06月21日 17時51分 (#2834640)
        
        > より詳しい人のわかりやすい話が聞けたら自分だけじゃなく他の人も得すると思ったんだがね。
        お前と他の人に無料で解説するほど詳しい人の時間は安くなかったということ
        巣にお帰り
        
        シェア
        
        親コメント
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        本当にそう思っているなら、なぜこういう雑談サイトを読み書きしているの?
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        皆まで言わないと理解しない人に皆まで言ったところで
        さらなる愚問しか返ってきませんしね…。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  電波が出ているということは、電位や電流が変化しているということ。
  現在のコンピュータは電圧のON/OFFで2進数を入出力して動いています。
  CPU内部もメモリも原理的には同じで、特にメモリに対する連続的な読み書きはパターン化しやすい気がします。
  ソースコードがあって、その動作で発信される電波のパターンがわかれば、ある程度読み書きされているデータが予想できると言うことでしょう。
  逆にメモリアクセスや演算をある程度並列化し、順序が一定にならないようにすれば予想は難しくなると思います。
RADIO のボリュームをちょっとあげて (スコア:0)

by Anonymous Coward on 2015年06月21日 15時11分 (#2834604)

RADIO のボリュームをちょっとあげて
秘密の鍵が届くはず…
#元の歌詞http://j-lyric.net/artist/a0025d9/l0070f6.html
- Re: (スコア:0)
  
  by Anonymous Coward
  
  RAID0って読んじゃった・・疲れてるな。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    大丈夫。おかしいのは、単なる英単語なのに大文字表記する奴。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      やべぇアメリカ人のかなりの割合がまとめてdisられた
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        英語のネットスラングで大文字強調の多用をやめろ的なのがあるそうですね。
        # TYCLO [alc.co.jp]とかいうらしい。
複数の手段があるってか？ (スコア:0)

by Anonymous Coward on 2015年06月21日 20時00分 (#2834678)

ＳＤＲドングルなんて安いじゃん。デジタルテレビの方式の違いから日本ではあまり
出回ってないけど、それでも秋葉原にいけば１０００円位で手に入りますよね。
わざわざ他の方法を探しだしたのは・・・・探したかっただけかなぁ？
- Re: (スコア:0)
  
  by Anonymous Coward
  
  探したかっただけです。
  ありふれた民生品だけでできれば、より技術デモとしてのインパクトは大きい。
  AMラジオとスマホだけで暗号買い得できちゃうYo!と言われてみなさい。
  AMラジオが当局によって発売禁止になったりし
  NO CARRIER
  - Re:複数の手段があるってか？ (スコア:1)
    
    by taka2 (14791) on 2015年06月22日 11時56分 (#2834953) ホームページ日記
    
    SDRドングルって書かれると、なんか特殊な周辺機器を使うように思えてしまいますが、今時1000円で売ってるワンセグチューナーでSDRができたりします [hardware.srad.jp]。
    (ワンセグチューナー自体が、コストダウンのため内部構造が汎用的なSDRチップで構成されてますから、チップを直接叩けばワンセグ受信以外のこともいろいろできる)
    ですので、「SDRで解読可能」という主張の時点でもう、「ありふれた民生品だけでできる、技術デモとしてのインパクトが大きい」ニュースだと思います。
    
    シェア
    
    親コメント
すべての技術は公開されるのだろうか？ (スコア:0)

by Anonymous Coward on 2015年06月21日 20時43分 (#2834701)

産業スパイによって得られる利益は大きいから、この記事で示される技術よりも
はるかに優れたものが存在しているかもしれない。
技術を公開して得られる利益より、非公開で産業スパイを行って利益を得たほうがはるかに大きい場合
公開せずにお金儲けをする人はいると思う。
サイドチャネル攻撃 (スコア:0)

by Anonymous Coward on 2015年06月22日 12時44分 (#2834971)

御参考までに。 http://www.uec.ac.jp/research/information/column/22/ [uec.ac.jp]
電磁波もいいけど温度もね (スコア:0)

by Anonymous Coward on 2015年06月24日 10時03分 (#2836123)

機械だー０１には、回路を流れる電流による熱で
ロボットの思考を逆算するロボットがいました

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

パソコンの発する電磁波をAMラジオで受信してRSA秘密鍵などを解析 32

パソコンの発する電磁波をAMラジオで受信してRSA秘密鍵などを解析 More ログイン

ノイズで音楽 (スコア:5, 興味深い)

Re:ノイズで音楽 (スコア:1)

Re:ノイズで音楽 (スコア:2)

これか？ (スコア:2)

Re:これか？ (スコア:2)

Re:これか？ (スコア:1)

Re: (スコア:0)

Re:これか？ (スコア:1)

Re: (スコア:0)

Re:これか？ (スコア:2)

Re: (スコア:0)

スロープ検波 (スコア:1)

デジャヴ (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:デジャヴ (スコア:1)

Re:デジャヴ (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

RADIO のボリュームをちょっとあげて (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

複数の手段があるってか？ (スコア:0)

Re: (スコア:0)

Re:複数の手段があるってか？ (スコア:1)

すべての技術は公開されるのだろうか？ (スコア:0)

サイドチャネル攻撃 (スコア:0)

電磁波もいいけど温度もね (スコア:0)

スラド

ノイズで音楽 (スコア:5, 興味深い)

Re:ノイズで音楽 (スコア:1)

Re:ノイズで音楽 (スコア:2)

これか？ (スコア:2)

Re:これか？ (スコア:2)

Re:これか？ (スコア:1)

Re: (スコア:0)

Re:これか？ (スコア:1)

Re: (スコア:0)

Re:これか？ (スコア:2)

Re: (スコア:0)

スロープ検波 (スコア:1)

デジャヴ (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:デジャヴ (スコア:1)

Re:デジャヴ (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

RADIO のボリュームを ちょっと あげて (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

複数の手段があるってか？ (スコア:0)

Re: (スコア:0)

Re:複数の手段があるってか？ (スコア:1)

すべての技術は公開されるのだろうか？ (スコア:0)

サイドチャネル攻撃 (スコア:0)

電磁波もいいけど温度もね (スコア:0)

RADIO のボリュームをちょっとあげて (スコア:0)