Атака па часе - гэта тып атакі пабочнага канала ў сферы кібербяспекі, якая выкарыстоўвае варыяцыі часу, які патрабуецца для выканання крыптаграфічных алгарытмаў. Аналізуючы гэтыя адрозненні ў часе, зламыснікі могуць зрабіць выснову аб канфідэнцыйнай інфармацыі аб крыптаграфічных ключах, якія выкарыстоўваюцца. Гэтая форма атакі можа паставіць пад пагрозу бяспеку сістэм, якія абапіраюцца на крыптаграфічныя алгарытмы для абароны даных.
Пры атацы па часе зламыснік вымярае час, затрачаны на выкананне крыптаграфічных аперацый, такіх як шыфраванне або дэшыфраванне, і выкарыстоўвае гэтую інфармацыю, каб атрымаць падрабязную інфармацыю аб крыптаграфічных ключах. Асноўны прынцып заключаецца ў тым, што розныя аперацыі могуць займаць трохі розную колькасць часу ў залежнасці ад значэнняў бітаў, якія апрацоўваюцца. Напрыклад, пры апрацоўцы 0 біта аперацыя можа заняць менш часу ў параўнанні з апрацоўкай 1 біта з-за ўнутранай працы алгарытму.
Тэрмінавыя атакі могуць быць асабліва эфектыўнымі супраць укараненняў, у якіх адсутнічаюць належныя меры супрацьдзеяння для змякчэння гэтых уразлівасцяў. Адной з распаўсюджаных мэтаў атак па часе з'яўляецца алгарытм RSA, дзе модульная аперацыя ўзвядзення ў ступень можа дэманстраваць змены часу на аснове бітаў сакрэтнага ключа.
Ёсць два асноўных тыпу таймінгавых атак: пасіўныя і актыўныя. У пасіўнай атацы па часе зламыснік назірае за паводзінамі сістэмы па часе, не ўплываючы на яе актыўна. З іншага боку, пры актыўнай атацы па часе зламыснік актыўна маніпулюе сістэмай, каб увесці адрозненні ў часе, якімі можна скарыстацца.
Каб прадухіліць атакі па часе, распрацоўшчыкі павінны ўкараняць метады бяспечнага кадавання і контрмеры. Адзін з падыходаў заключаецца ў забеспячэнні таго, каб крыптаграфічныя алгарытмы мелі рэалізацыю з пастаянным часам, дзе час выканання не залежыць ад уваходных даных. Гэта ліквідуе розніцу ў часе, якой могуць скарыстацца зламыснікі. Акрамя таго, увядзенне выпадковых затрымак або метадаў асляплення можа дапамагчы заблытаць інфармацыю пра час, даступную патэнцыйным зламыснікам.
Атакі па часе ўяўляюць значную пагрозу бяспецы крыптаграфічных сістэм, выкарыстоўваючы змены часу ў выкананні алгарытму. Разуменне прынцыпаў, якія ляжаць у аснове таймінг-атак, і ўкараненне адпаведных контрзахадаў з'яўляюцца найважнейшымі крокамі ў абароне канфідэнцыйнай інфармацыі ад зламыснікаў.
Іншыя апошнія пытанні і адказы адносна EITC/IS/ACSS Advanced Computer Systems Security:
- Якія сучасныя прыклады ненадзейных сервераў захоўвання?
- Якая роля подпісу і адкрытага ключа ў бяспецы сувязі?
- Ці адпавядае бяспека файлаў cookie SOP (палітыка аднолькавага паходжання)?
- Ці магчымая атака падробкі міжсайтавага запыту (CSRF) як з запытам GET, так і з запытам POST?
- Ці добра сімвалічнае выкананне падыходзіць для пошуку глыбокіх памылак?
- Ці можа сімвалічнае выкананне ўключаць умовы шляху?
- Чаму мабільныя прыкладанні працуюць у бяспечным анклаве сучасных мабільных прылад?
- Ці ёсць падыход да пошуку памылак, пры якім праграмнае забеспячэнне можа быць бяспечным?
- Ці выкарыстоўвае тэхналогія бяспечнай загрузкі ў мабільных прыладах інфраструктуру адкрытых ключоў?
- Ці шмат ключоў шыфравання на файлавую сістэму ў сучаснай бяспечнай архітэктуры мабільных прылад?
Больш пытанняў і адказаў глядзіце ў EITC/IS/ACSS Advanced Computer Systems Security