Časovni napad je vrsta stranskega napada na področju kibernetske varnosti, ki izkorišča razlike v času, potrebnem za izvajanje kriptografskih algoritmov. Z analizo teh časovnih razlik lahko napadalci sklepajo na občutljive informacije o uporabljenih kriptografskih ključih. Ta oblika napada lahko ogrozi varnost sistemov, ki se za zaščito podatkov zanašajo na kriptografske algoritme.
Pri časovnem napadu napadalec izmeri čas, potreben za izvedbo kriptografskih operacij, kot sta šifriranje ali dešifriranje, in uporabi te informacije za sklepanje podrobnosti o kriptografskih ključih. Osnovno načelo je, da lahko različne operacije trajajo nekoliko drugače, odvisno od vrednosti bitov, ki se obdelujejo. Na primer, pri obdelavi bita 0 lahko operacija zaradi notranjega delovanja algoritma traja manj časa kot obdelava bita 1.
Napadi na določanje časa so lahko še posebej učinkoviti proti implementacijam, ki nimajo ustreznih protiukrepov za ublažitev teh ranljivosti. Ena pogosta tarča časovnih napadov je algoritem RSA, kjer lahko operacija modularnega potenciranja pokaže časovne variacije na podlagi bitov skrivnega ključa.
Obstajata dve glavni vrsti časovnih napadov: pasivni in aktivni. Pri pasivnem časovnem napadu napadalec opazuje časovno vedenje sistema, ne da bi nanj aktivno vplival. Po drugi strani pa aktivni časovni napad vključuje napadalca, ki aktivno manipulira s sistemom, da uvede časovne razlike, ki jih je mogoče izkoristiti.
Da preprečijo časovne napade, morajo razvijalci izvajati varne prakse kodiranja in protiukrepe. Eden od pristopov je zagotoviti, da imajo kriptografski algoritmi implementacijo s konstantnim časom, kjer čas izvajanja ni odvisen od vhodnih podatkov. To odpravlja časovne razlike, ki bi jih napadalci lahko izkoristili. Poleg tega lahko uvedba naključnih zakasnitev ali slepih tehnik pomaga zamegliti informacije o času, ki so na voljo potencialnim napadalcem.
Časovni napadi predstavljajo veliko grožnjo varnosti kriptografskih sistemov z izkoriščanjem časovnih variacij pri izvajanju algoritmov. Razumevanje načel za časovno določanje napadov in izvajanje ustreznih protiukrepov sta ključna koraka pri varovanju občutljivih informacij pred zlonamernimi akterji.
Druga nedavna vprašanja in odgovori v zvezi Varnost naprednih računalniških sistemov EITC/IS/ACSS:
- Kateri so trenutni primeri nezaupljivih strežnikov za shranjevanje?
- Kakšni sta vlogi podpisa in javnega ključa pri komunikacijski varnosti?
- Ali je varnost piškotkov dobro usklajena s SOP (politika istega izvora)?
- Ali je napad s ponarejanjem zahtev med spletnimi mesti (CSRF) možen tako z zahtevo GET kot z zahtevo POST?
- Ali je simbolična izvedba primerna za iskanje globokih hroščev?
- Ali lahko simbolična izvedba vključuje pogoje poti?
- Zakaj se mobilne aplikacije v sodobnih mobilnih napravah izvajajo v varni enklavi?
- Ali obstaja pristop k iskanju hroščev, pri katerem je programska oprema lahko dokazano varna?
- Ali tehnologija varnega zagona v mobilnih napravah uporablja infrastrukturo javnih ključev?
- Ali obstaja veliko šifrirnih ključev na datotečni sistem v sodobni varni arhitekturi mobilne naprave?
Oglejte si več vprašanj in odgovorov v EITC/IS/ACSS Advanced Computer Systems Security