هجوم التوقيت

في علوم التشفير ، يمثل هجوم التوقيت هجومًا على قناة جانبية يحاول فيه المهاجم اختراق نظام تشفير عن طريق تحليل الوقت المستغرق لتطبيق خوارزميات التشفير. جميع عملية منطقية في الكمبيوتر تستغرق وقتًا للتطبيق، ويمكن حتى يختلف الوقت بناءً على المدخلات ؛ مع قياسات دقيقة للوقت لكل عملية، يمكن للمهاجم العمل بعمليات عكسية وفي الإتجاه الخلفي من عمليات الإدخال.

يمكن حتى تتسرب المعلومات من النظام من خلال قياس الوقت المستغرق للرد على استفسارات معينة. يعتمد مقدار هذه المعلومات التي يمكن حتى تساعد المهاجم على فهم الكثير من المتغيرات النظامية مثل: تصميم نظام التشفير، وحدة المعالجة المركزية التي تدير النظام، الخوارزميات المستخدمة، تفاصيل التطبيق المتنوعة، إجراءات توقيت الهجوم، دقة قياسات التوقيت، إلخ.

غالبًا ما يتم التغاضي عن هجمات التوقيت في فترة التصميم لأنها تعتمد على التطبيق ويمكن تقديمها عن غير قصد مع تحسينات برنامج التحويل البرمجي. يتضمن تجنب هجمات التوقيت تصميم وظائف وقت ثابت واختبار دقيق للكود القابل للتطبيق النهائي.

المفهوم

هجوم التوقيت هومثال على الهجوم الذي يستغل الخصائص السلوكية المعتمدة على البيانات لتطبيق الخوارزمية بدلاً من الخصائص الرياضية الأخرى للخوارزميات.

يمكن تطبيق الكثير من خوارزميات التشفير (أوحجبها بواسطة وكيل) بكيفية تقلل أوتقضي على معلومات التوقيت التي تعتمد على البيانات: ضع في اعتبارك عملية تطبيق يتم من خلالها إرجاع جميع مكالمة إلى روتين فرعي دائمًا في ثوانٍ بقيمة (x) بالضبط، حيثقد يكون x هوالحد الأقصى للوقت على الإطلاق، حيث سيأخذ لتطبيق هذا الروتين على جميع المدخلات المسموح بها. في مثل هذا التطبيق، لا يسرب توقيت الخوارزمية أي معلومات حول البيانات المقدمة لهذا الاحتجاج. الجانب السلبي لهذا النهج هوحتى الوقت المستخدم لجميع عمليات التطبيق يصبح وقت أداء الدالة والعملية الأسوأ.

هجمات التوقيت هي في كثير من الحالات عمليات يمكن النظر إليها على أنها:

يمكن تطبيق هجمات التوقيت على أي خوارزمية بها تباين توقيت معتمد على البيانات. ستعرض البرامج التي يتم تشغيلها على وحدة المعالجة المركزية مع ذاكرة تخزين مؤقت للبيانات اختلافات توقيت تعتمد على البيانات نتيجة ظهور الذاكرة في ذاكرة التخزين المؤقت. قد يحدث لبعض العمليات، مثل عمليات الضرب، وقت تطبيق متباين حسب المدخلات. تعد إزالة التبعيات الزمنية أمرًا صعبًا في بعض الخوارزميات التي تستخدم عمليات منخفضة المستوى تظهر عليها كثيرًا وقت تطبيق متنوع.
قد يحدث العثور على الأسرار من خلال معلومات التوقيت أسهل كثيرًا من استخدام تحليل الشفرة لأزواج النص المشفر المعروفة. في بعض الأحيان يتم دمج معلومات التوقيت مع تحليل الشفرات لزيادة معدل تسرب المعلومات.

أمثلة

يعتمد وقت التطبيق لخوارزمية المربعات والضرب المستخدمة في الأسية المعيارية خطيًا على عدد البتات '1' في المفتاح. على الرغم من حتى عدد البتات "1" وحدها لا يكادقد يكون معلومات كافية لجعل العثور على المفتاح أمرًا سهلاً، حيث يمكن استعمال عمليات التطبيق المتكررة باستخدام نفس المفتاح ومدخلات مختلفة لإجراء تحليل الارتباط الإحصائي لمعلومات التوقيت لاستعادة المفتاح تمامًا، حتى من خلال المهاجم الغير نشط. غالبًا ما تتضمن قياسات التوقيت الملاحظة ضوضاء (من مصادر مثل اختفاء الشبكة، أواختلافات الوصول إلى محرك الأقراص من الوصول إلى المصادر، وتقنيات تسليم الأخطاء المستخدمة في الاسترداد من أخطاء الإرسال). ومع ذلك، تعتبر هجمات التوقيت عملية ضد عدد من خوارزميات التشفير، بما في ذلك RSA وElGamal وخوارزمية التوقيع الرقمي.

في عام 2003 ، أظهر Boneh وBrumley هجومًا عمليًا قائمًا على الشبكة على خوادم الويب التي تدعم SSL ، استنادًا إلى ثغرة أمنية مختلفة تتعلق باستخدام RSA مع تحسينات في نظرية "النظرية الباقية الصينية" . كانت المسافة العملية للشبكة صغيرة في تجاربها، لكن الهجوم نجح في استعادة مفتاح الخادم الخاص في غضون ساعات. أدى هذا العرض التوضيحي إلى نشر واستخدام تقنيات التعمية/التشفير على نطاق واسع في تطبيقات SSL. في هذا السياق، تهدف عمليات التشفير/التعمية إلى إزالة الارتباطات بين المفتاح ووقت التشفير.

بعض إصدارات يونكس تستخدم عمليات تطبيق مكلفة نسبياً، على سبيل المثال عند استخدام دوال التجزئة (مثل دالة crypt ) لحدثات مرور مكونة منثمانية أحرف إلى 11 حرفاً. وعلى الأجهزة القديمة، استغرق هذا الحساب وقتًا طويلاً ومتعمدًا: يصل إلى ثانيتين أوثلاث ثوانٍ في بعض الحالات. قام برنامج تسجيل الدخول في الإصدارات القديمة من Unix بتطبيق وظيفة ودالة crypt فقط عندما تم التعهد على اسم تسجيل الدخول من قبل النظام. هذا يُعتبر بمثابة "تسرب المعلومات" خلال توقيت معين يدور حول صحة اسم تسجيل الدخول. حتى عندما كانت حدثة المرور غير سليمة كان تسرب المعلومات المسبق موجود أيضاً كقيمة توقيتية. يمكن للمهاجم استغلال مثل هذه التسريبات من خلال تطبيق هجوم "القوة الغاشمة/العمياء" أولاً لإنتاج قائمة بأسماء تسجيل الدخول المعروفة بأنها صالحة، ثم محاولة الوصول عن طريق الجمع بين هذه الأسماء فقط مع مجموعة كبيرة من حدثات المرور المعروفة بالاستخدام المتكرر. بدون أي معلومات حول صحة أسماء تسجيل الدخول، فإن الوقت اللازم لتطبيق مثل هذا النهج سيزيد بأوامر مهمة من الحجم الثقيل، مما يجعله عديم الفائدة بشكل فعال. قامت الإصدارات الأحدث من Unix بإصلاح هذا التسرب من خلال تطبيق وظيفة التشفير دائمًا، بغض النظر عن صلاحية اسم تسجيل الدخول.

يمكن إجراء عمليتين منفصلتين بشكل آمن يتم تشغيلهما على نظام واحد مع ذاكرة التخزين المؤقت أوالذاكرة الظاهرية عن طريق التسبب المتعمد في أخطاء الصفحة و/ أوتفويت ذاكرة التخزين المؤقت في عملية واحدة، ثم مراقبة التغييرات الناتجة في أوقات الوصول من جهة أخرى. وبالمثل، إذا كان أحد التطبيقات موثوقًا به، ولكن تخزين الصفحات في عمليات التخزين المؤقت متأثرة بمنطق التفريع، فقد يحدث من الممكن للتطبيق الثاني تحديد قيم البيانات مقارنة بحالة الفرع من خلال مراقبة تغييرات وقت الوصول ؛ وفي الأمثلة القصوى، يمكن حتى يسمح هذا باسترداد البتات الخاصة بمفتاح التشفير.

تعتمد هجمات Meltdown وSpecter لعام 2017 التي أجبرت مصنعي وحدة المعالجة المركزية (بما في ذلك Intel وAMD وARM وIBM) على إعادة تصميم وحدات المعالجة المركزية الخاصة بهم على هجمات التوقيت. اعتبارًا من أوائل عام 2018 ، تُأثر هجمات Specter تقريبًا بكل نظام كمبيوتر في العالم، مما يجعلها أقوى مثال على توقيت الهجوم وعلى مدار التاريخ.

توضح التعليمات البرمجية التالية لـ Visual Basic مقارنة سلسلة غير آمنة نموذجية والتي تتوقف عن الاختبار بمجرد عدم تطابق حرف. على سبيل المثال، عند مقارنة "ABCDE" بـ "ABxDE" ، فإن الدالة ستعود بالتوقف بعد تكرار ثلاثة دورات:

Function InsecureCompare(StrA As String, StrB As String, length As Integer) As Boolean
 Dim result As Boolean
 For i = 1 To length
 If Mid(StrA, i, 1) <> Mid(StrB, i, 1) Then Exit For
 Next
 result = (i > length)
 InsecureCompare = result
End Function

بالمقارنة، يتم تشغيل الإصدار التالي في وقت ثابت عن طريق اختبار جميع الأحرف واستخدام عمليات bitwise للاختبار دون القفزات الشرطية:

Function SecureCompare(StrA As String, StrB As String, length As Integer) As Boolean
 Dim result As Boolean
 For i = 1 To length
 result = result Or (Asc(Mid(StrA, i, 1)) Xor Asc(Mid(StrB, i, 1)))
 Next
 SecureCompare = Not result
End Function

ملاحظات

من السهل تصاعد هجمات التوقيت إذا كان المهاجم يعهد الحدود الداخلية لتطبيقات الأجهزة، وحتى أكثر من ذلك بنظام التشفير المستخدم. نظرًا لأن أمان التشفير لا يجب حتى يعتمد أبدًا على الغموض (انظر الأمان من خلال الغموض ، وتحديداً مبدأ شانون ومكسيم كيركهوفز ) ، فإن مقاومة هجمات التوقيت يجب ألا تكون كذلك. إذا لم يكن هناك شيء آخر تقدر عمله، فيمكن شراء نموذج مثالي لهندسة عكسية مختصة بهجمات التوقيت. قد تكون هجمات التوقيت وغيرها من هجمات القنوات الجانبية مفيدة أيضًا في تحديد خوارزمية التشفير التي تستخدمها بعض الأجهزة، أومن الممكن لتحديد الهندسة العكسية.

المراجع

↑ "BearSSL – Constant-Time Crypto". www.bearssl.org. مؤرشف من الأصل في 11 أبريل 2019. اطلع عليه بتاريخعشرة يناير 2017.
^ See Percival, Colin, Cache Missing for Fun and Profit, 2005. نسخة محفوظة 21 أغسطس 2019 على مسقط واي باك مشين.
^ Bernstein, Daniel J., Cache-timing attacks on AES, 2005. نسخة محفوظة 25 أغسطس 2019 على مسقط واي باك مشين.
^ ميلتداون
^ "Meltdown and Spectre". مؤرشف من الأصل في 20 نوفمبر 2019.
^ Security flaws put virtually all phones, computers at risk - Reuters نسخة محفوظة أربعة أغسطس 2019 على مسقط واي باك مشين.
^ Potential Impact on Processors in the POWER Family - IBM PSIRT Blog نسخة محفوظة 22 أغسطس 2019 على مسقط واي باك مشين.

قراءات أخرى

Paul C. Kocher: توقيت الهجمات على تطبيقات Diffie-Hellman وRSA وDSS والأنظمة الأخرى. CRYPTO 1996: 104-113 ( https://www.paulkocher.com/TimingAttacks.pdf pdf file])
ديفيد بروملي ودان بونيه: هجمات التوقيت البعيد عملية. USENIX Security Symposium، August 2003. pdf file
Colin Percival: ذاكرة التخزين المؤقت مفقود للمتعة والأرباح، 13 مايو2005 ( ملف pdf )
Lipton, Richard; Naughton, Jeffrey F. (March 1993). "Clocked adversaries for hashing". Algorithmica. 9 (3): 239–252. doi:10.1007/BF01190898. اطلع عليه بتاريخ 02 سبتمبر 2008.