Jak ukraść klucz

| Technologia
RIM

Eksperci odkryli, w jaki sposób można ukraść klucze kryptograficzne używane do zabezpieczania transmisji bezprzewodowej w urządzeniach przenośnych. Kradzieży można dokonać mierząc ilość zużywanej energii lub emisję częstotliwości fal radiowych.

Atak, znany jako różnicowa analiza mocy (DPA), wykorzystuje pomiar sygnałów elektromagnetycznych emitowanych przez układ scalony urządzenie. Można też użyć specjalnego czujnika dołączonego do źródła zasilania śledzonego urządzenia.

Jak informuje Benjamin Jun, wiceprezes firmy Cryptography Research, która opracowała technikę ataku, dane są zbierane za pomocą oscyloskopu, a następnie analizowane w taki sposób, by zidentyfikować informacje związane z szyfrowaniem połączenia.

Jun zapewnia, że dzięki odpowiedniemu wyposażeniu można w ciągu kilku minut ukraść klucz kryptograficzny urządzenia znajdującego się w odległości około 1,5 metra od podsłuchującego. Klucz ten można następnie skopiować i użyć go do poznania sekretów osoby podsłuchiwanej.

Z testów przeprowadzonych przez Cryptography Research wynika, że podsłuchiwać można zarówno smarftony jak i palmtopy, mimo tego, że urządzenia te są wyposażone w mechanizmy mające zapobiegać wyciekom danych. Jun nie chciał zdradzić, które konkretnie modele urządzeń udało się podsłuchać. Nie wie też, czy metody tego typu są już wykorzystywane przez cyberprzestępców. Jest jedna pewien, że wcześniej czy później ofiarami podsłuchów będą padali właściciele smartofnów. Jun przypomniał, że już 10 lat temu podobne techniki były wykorzystywane do ataków na terminale bankowe, wiadomo, że są na nie podatne też tokeny USB.

Jego zdaniem, przed podsłuchami takimi można zabezpieczyć urządzenia wprowadzając przypadkowe zakłócenia sygnałów elektromagnetycznych czy zmieniając sposób szyfrowania danych.

Znany specjalista ds. zabezpieczeń, Bruce Schneier, pytany o opinię na temat nowej techniki ataku stwierdził, że tak długo, jak tego typu zagrożenia dotyczyły np. terminali bankowych, dla osób indywidualnych nie były one uciążliwie, o ile, oczywiście, bank nie próbował obciążać ich swoimi stratami. Teraz jednak, gdy okazało się, że istnieje możliwość podsłuchiwania prywatnych telefonów oraz skopiowania kluczy kryptograficznych i korzystania z usług, za które rachunki wystawiane są ofierze, sytuacja stała się znacznie bardziej poważna.

klucz kryptograficzny podsłuch smartfon telefon komórkowy urządzenie przenośne połączenie bezprzewodowe Bruce Schneier Benjamin Jun Cryptography Research różnicowa analiza mocy