Laika uzbrukums ir sānu kanālu uzbrukuma veids kiberdrošības jomā, kas izmanto laika variācijas, kas nepieciešamas kriptogrāfijas algoritmu izpildei. Analizējot šīs laika atšķirības, uzbrucēji var izsecināt sensitīvu informāciju par izmantotajām kriptogrāfiskajām atslēgām. Šis uzbrukuma veids var apdraudēt to sistēmu drošību, kuras datu aizsardzībai paļaujas uz kriptogrāfiskiem algoritmiem.
Laika uzbrukumā uzbrucējs mēra laiku, kas nepieciešams, lai veiktu kriptogrāfijas darbības, piemēram, šifrēšanu vai atšifrēšanu, un izmanto šo informāciju, lai izsecinātu informāciju par kriptogrāfiskajām atslēgām. Pamatprincips ir tāds, ka dažādām darbībām var būt nepieciešams nedaudz atšķirīgs laiks atkarībā no apstrādājamo bitu vērtībām. Piemēram, apstrādājot 0 bitu, darbība var aizņemt mazāk laika nekā 1 bita apstrāde algoritma iekšējās darbības dēļ.
Laika uzbrukumi var būt īpaši efektīvi pret implementācijām, kurām trūkst atbilstošu pretpasākumu šo ievainojamību mazināšanai. Viens izplatīts laika noteikšanas uzbrukumu mērķis ir RSA algoritms, kur modulārā paplašināšanas darbība var parādīt laika variācijas, pamatojoties uz slepenās atslēgas bitiem.
Ir divi galvenie laika uzbrukumu veidi: pasīvie un aktīvie. Pasīvā laika noteikšanas uzbrukumā uzbrucējs novēro sistēmas laika uzvedību, to aktīvi neietekmējot. No otras puses, aktīvs laika noteikšanas uzbrukums ietver uzbrucēja aktīvu manipulāciju ar sistēmu, lai ieviestu laika atšķirības, kuras var izmantot.
Lai novērstu laika uzbrukumus, izstrādātājiem ir jāievieš droša kodēšanas prakse un pretpasākumi. Viena pieeja ir nodrošināt, ka kriptogrāfijas algoritmiem ir konstanta laika ieviešana, kur izpildes laiks nav atkarīgs no ievades datiem. Tas novērš laika atšķirības, ko uzbrucēji varētu izmantot. Turklāt nejaušas aizkaves vai aptumšošanas paņēmienu ieviešana var palīdzēt aptumšot potenciālajiem uzbrucējiem pieejamo laika informāciju.
Laika noteikšanas uzbrukumi ievērojami apdraud kriptogrāfijas sistēmu drošību, izmantojot algoritma izpildes laika variācijas. Uzbrukumu laika noteikšanas principu izpratne un atbilstošu pretpasākumu īstenošana ir būtiski pasākumi, lai aizsargātu sensitīvu informāciju no ļaunprātīgiem dalībniekiem.
Citi jaunākie jautājumi un atbildes par EITC/IS/ACSS uzlaboto datorsistēmu drošība:
- Kādi ir daži pašreizējie neuzticamo krātuves serveru piemēri?
- Kādas ir paraksta un publiskās atslēgas lomas komunikācijas drošībā?
- Vai sīkfailu drošība ir labi saskaņota ar SOP (tā pati izcelsmes politika)?
- Vai starpvietņu pieprasījuma viltošanas (CSRF) uzbrukums ir iespējams gan ar GET pieprasījumu, gan ar POST pieprasījumu?
- Vai simboliskā izpilde ir piemērota dziļu kļūdu atrašanai?
- Vai simboliskā izpilde var ietvert ceļa nosacījumus?
- Kāpēc mūsdienu mobilajās ierīcēs mobilās lietojumprogrammas tiek darbinātas drošajā anklāvā?
- Vai ir kāda pieeja tādu kļūdu atrašanai, kurās programmatūras drošību var pierādīt?
- Vai drošās sāknēšanas tehnoloģija mobilajās ierīcēs izmanto publiskās atslēgas infrastruktūru?
- Vai mūsdienu mobilo ierīču drošajā arhitektūrā katrai failu sistēmai ir daudz šifrēšanas atslēgu?
Skatiet vairāk jautājumu un atbilžu sadaļā EITC/IS/ACSS Advanced Computer Systems Security