- 1、本文档共8页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
「時序攻擊法」(Timing Attack)與安全防護說明
行政院研究發展考核委員會 94年8月
一、時序攻擊法(Timing Attack)
時序攻擊法是由密碼學專家Paul Kocher所提出,主要利用電腦加解密運算時之時間特徵,推導出私密金鑰的一種攻擊方法。由於是一種全新之攻擊概念,因而引發廣泛之討論。
時序攻擊法對於一般公開金鑰系統均有潛在威脅,已有多項警訊發布,包括2項有關OpenSSL、1項有關OpenSSH、1項有關ProFTPD、1項有關CPU「超執行緒」(Hyper-Threading)技術及1項有關AES標準(請參考附件一)。
二、影響分析
時序攻擊法對於在伺服器上使用公開金鑰系統具有潛在威脅,個人電腦則不受影響。
依據相關警訊資料,目前受影響的範圍分軟、硬體兩方面加以說明:
軟體:時序攻擊法之對象主要為加解密模組,已知受影響之軟體包括OpenSSL、OpenSSH及ProFTPD等,其他受到影響之作業系統則均為多人多工之作業環境,如:Debian Linux、Redhat Linux、Turbolinux、Mandrake、FreeBSD、Sun Solaris _x86等。(請參閱附件一中各弱點警訊所列舉之參考資料)
硬體:具備「超執行緒」功能之CPU,可使1個CPU模擬為2個CPU,進而允許2個執行緒同時執行,以增加系統的整體效能,但如其他安全軟體漏洞未有效防範下,可能意外造成利用時序攻擊法獲取正常執行緒中之加密金鑰的風險。
「時序攻擊法」安全弱點並非全然導致於或全然可歸責於超執行緒技術,從系統工程角度觀之,安全軟體導致的弱點可能更容易導致遭受「時序攻擊法」的風險。另外,依據Gartner於2005年5月20日發表的研究報告,在多項加密建置方案中,含大量快取的系統均有可能遭受軟體時序攻擊之風險。
由於時序攻擊法之複雜度高,目前尚無資安機構公布發現相關資安事件。軟體業界與資通安全專家亦指出引發時序攻擊法的風險是有限的,可能還有其他更容易的方法可以竊取相關的金鑰資訊。
三、因應說明
基本資通安全防護:各機關應持續遵循各項資通安全防護策略,包括更新作業系統、硬體或軟體防火牆及間諜軟體防護程式與防毒軟體,以確保系統未遭受惡意軟體侵犯,以減少進一步受到時序攻擊法攻擊的風險。
受影響軟體之因應作為:立即查詢相關廠商之更新程式,進行弱點補強作業。
受影響硬體之因應作為:造成時序攻擊法的風險主因為相關軟體未能妥善設計,以致有遭受攻擊的風險,單純從硬體上不使用「超執行緒」功能,並非是減少時序攻擊法風險的有效方法,更有效的解決方法是修補容易遭受攻擊的軟體。
參考本會發布Intel處理器「超執行緒」技術設計漏洞說明(本會94年7月15日會訊字第0940014325號函送)「三、因應說明」之(二)所提因應建議,從整體系統工程觀點兼顧硬體與軟體防範指施。在軟體或硬體廠商對其現有產品尚未提供進一步的整體安全防護措施前,後續相關設備採購建議調整如下:
當採購加解密模組軟體或多人多工之作業系統,建議請廠商提供如何防範時序攻擊法相關弱點之安全防護措施建議。
當採購具「超執行緒」功能之硬體,如有應用需要,建議請廠商從整體系統工程觀點提供防範時序攻擊法相關弱點之軟硬體安全防護建議。
其他注意事項:預防時序攻擊法之徹底解決方法是修正容易遭受攻擊之程式碼。因此,各機關於系統發展時,應遵守以下事項:
系統運作時所使用之機敏資料,如:加密金鑰與通行碼等,使用後應立即清除,不可留在記憶體中,以避免遭間諜程式掃瞄竊取。
加解密程式應妥善設計,不洩露執行特徵,以避免遭時序攻擊法之攻擊。
四、相關事宜請洽技術服務中心呂小姐,電話:(02)2733-9922。
五、參考資料
Paul C. Kocher: Timing Attacks on Implementations of Diffie-Hellman, RSA, DSS, and Other Systems. CRYPTO 1996: 104–113.
David Brumley and Dan Boneh: Remote timing attacks are practical. USENIX Security Symposium, August 2003.
Colin Percival: Cache Missing for Fun and Profit, May 13, 2005.
Martin Reynolds: Prepare for the Threat of Timing Attacks, Gartner Research, ID Number: 20 May 2005.
附件一、時序攻擊法相關警訊
資料來源:美國 US-CERT 之共通弱點公告(Com
您可能关注的文档
- 2019年《鸦片战争》教学设计.doc
- 2019年「乐活一站」–我的超级助理(长者照顾).doc
- 2019年「书写中国翻译史第七届中国译学新芽研讨会」申请表.doc
- 2019年「人际互动与沟通技巧」课程大纲.doc
- 2019年「使生如夏花之灿烂,死如秋叶之静美。」~泰戈尔~.doc
- 2019年「健康吃快乐动」低年级健康饮食(健康体位)宣导课程.doc
- 2019年「共创成长路」-赛马会青少年培育计划P.A.T.H.S.to.ppt
- 2019年「华语文学与思想」报告伯夷列传.ppt
- 2019年「受家暴影响学童」的辨识方法及介入策略.ppt
- 2019年「国际会计准则转换计画参考范例」修改意见.doc
- 《天文学上的旷世之争》课件21张2024-2025学年统编版高中语文选择性必修下册.pptx
- 《一个消逝了的山村》课件26张2024-2025学年高中语文统编版选择性必修下册第二单元.pptx
- 《秦腔》课件45张2024-2025学年高中语文统编版选择性必修下册.pptx
- 《记念刘和珍君》教案 高二语文选择性必修(中).doc
- 第《阿Q正传》(备课堂)2024-2025学年高二语文同步备课系列(统编版选择性必修下册).pptx
- 《《登快阁》》(备课堂)2024-2025学年高二语文同步备课系列(统编版选择性必修下册).pptx
- 第三单元教案 高二语文.docx
- 第四单元教案 高二语文.docx
- 《扬州慢》课件-高二语文统编版(2019)选择性必修下册 - 副本.pptx
- 蜀相课件-高二语文统编版(2019)选择性必修下册.ppt
最近下载
- 顶管专项施工组织设计与对策.pdf
- 小学书法社团教学计划(共14篇).docx
- 企业管理咨询 时段四作业(第七-八章).docx VIP
- 《抗生素合理使用》课件.pptx VIP
- 肉牛养殖技术:肉牛体脂肪与肌肉的沉积规律.doc
- Haier海尔家用电热水器 FCD-JTHC40-III 使用说明书.PDF VIP
- NFPA 855-2023 Standard for the Installation of Stationary Energy Storage Systems 固定储能系统安装标准.pdf
- 0508-美容美发与造型(美容)专业国家技能人才培养工学一体化课程设置方案(试用).docx VIP
- 堆垛机维护保养手册.doc
- 《小狗的房子》教学设计4篇.docx
文档评论(0)