2019年「时序攻击法」（TimingAttack）与安全防护说明.docVIP

「時序攻擊法」(Timing Attack)與安全防護說明 行政院研究發展考核委員會 　　　94年8月 一、時序攻擊法(Timing Attack) 時序攻擊法是由密碼學專家Paul Kocher所提出，主要利用電腦加解密運算時之時間特徵，推導出私密金鑰的一種攻擊方法。由於是一種全新之攻擊概念，因而引發廣泛之討論。 時序攻擊法對於一般公開金鑰系統均有潛在威脅，已有多項警訊發布，包括2項有關OpenSSL、1項有關OpenSSH、1項有關ProFTPD、1項有關CPU「超執行緒」（Hyper-Threading）技術及1項有關AES標準（請參考附件一）。 二、影響分析 時序攻擊法對於在伺服器上使用公開金鑰系統具有潛在威脅，個人電腦則不受影響。 依據相關警訊資料，目前受影響的範圍分軟、硬體兩方面加以說明： 軟體：時序攻擊法之對象主要為加解密模組，已知受影響之軟體包括OpenSSL、OpenSSH及ProFTPD等，其他受到影響之作業系統則均為多人多工之作業環境，如：Debian Linux、Redhat Linux、Turbolinux、Mandrake、FreeBSD、Sun Solaris _x86等。（請參閱附件一中各弱點警訊所列舉之參考資料） 硬體：具備「超執行緒」功能之CPU，可使1個CPU模擬為2個CPU，進而允許2個執行緒同時執行，以增加系統的整體效能，但如其他安全軟體漏洞未有效防範下，可能意外造成利用時序攻擊法獲取正常執行緒中之加密金鑰的風險。 「時序攻擊法」安全弱點並非全然導致於或全然可歸責於超執行緒技術，從系統工程角度觀之，安全軟體導致的弱點可能更容易導致遭受「時序攻擊法」的風險。另外，依據Gartner於2005年5月20日發表的研究報告，在多項加密建置方案中，含大量快取的系統均有可能遭受軟體時序攻擊之風險。 由於時序攻擊法之複雜度高，目前尚無資安機構公布發現相關資安事件。軟體業界與資通安全專家亦指出引發時序攻擊法的風險是有限的，可能還有其他更容易的方法可以竊取相關的金鑰資訊。 三、因應說明 基本資通安全防護：各機關應持續遵循各項資通安全防護策略，包括更新作業系統、硬體或軟體防火牆及間諜軟體防護程式與防毒軟體，以確保系統未遭受惡意軟體侵犯，以減少進一步受到時序攻擊法攻擊的風險。 受影響軟體之因應作為：立即查詢相關廠商之更新程式，進行弱點補強作業。 受影響硬體之因應作為：造成時序攻擊法的風險主因為相關軟體未能妥善設計，以致有遭受攻擊的風險，單純從硬體上不使用「超執行緒」功能，並非是減少時序攻擊法風險的有效方法，更有效的解決方法是修補容易遭受攻擊的軟體。 參考本會發布Intel處理器「超執行緒」技術設計漏洞說明(本會94年7月15日會訊字第0940014325號函送)「三、因應說明」之(二)所提因應建議，從整體系統工程觀點兼顧硬體與軟體防範指施。在軟體或硬體廠商對其現有產品尚未提供進一步的整體安全防護措施前，後續相關設備採購建議調整如下： 當採購加解密模組軟體或多人多工之作業系統，建議請廠商提供如何防範時序攻擊法相關弱點之安全防護措施建議。 當採購具「超執行緒」功能之硬體，如有應用需要，建議請廠商從整體系統工程觀點提供防範時序攻擊法相關弱點之軟硬體安全防護建議。 其他注意事項：預防時序攻擊法之徹底解決方法是修正容易遭受攻擊之程式碼。因此，各機關於系統發展時，應遵守以下事項： 系統運作時所使用之機敏資料，如：加密金鑰與通行碼等，使用後應立即清除，不可留在記憶體中，以避免遭間諜程式掃瞄竊取。 加解密程式應妥善設計，不洩露執行特徵，以避免遭時序攻擊法之攻擊。 四、相關事宜請洽技術服務中心呂小姐，電話：（02）2733-9922。 五、參考資料 Paul C. Kocher: Timing Attacks on Implementations of Diffie-Hellman, RSA, DSS, and Other Systems. CRYPTO 1996: 104–113. David Brumley and Dan Boneh: Remote timing attacks are practical. USENIX Security Symposium, August 2003. Colin Percival: Cache Missing for Fun and Profit, May 13, 2005. Martin Reynolds: Prepare for the Threat of Timing Attacks, Gartner Research, ID Number: 20 May 2005. 附件一、時序攻擊法相關警訊 資料來源：美國 US-CERT 之共通弱點公告（Com