通过使用 iPhone 或商业监控系统中的摄像头来恢复存储在智能卡和智能手机中的加密密钥,以视频记录显示读卡器或智能手机何时打开的电源 LED。通过仔细监控功耗、声音、电磁辐射或操作发生所需时间等特性,攻击者可以收集足够的信息来恢复支持加密算法安全性和机密性的密钥。如今,黑客可以通过近 20 米外的视频录制电源 LED 窃取加密密钥。
【资料图】
左图是智能卡读卡器正在处理插入智能卡的加密密钥,右图是一个监控摄像头从近 20 米外的地方记录下读取器的电源 LED
研究人员最近发现了一种新的攻击方法,通过使用 iphone 或商业监控系统中的摄像头,记录下读卡器或智能手机打开时显示的电源 LED,可以恢复存储在智能卡和智能手机中的秘密加密密钥。
这些攻击提供了一种利用两个先前披露的侧信道的新方法,侧信道攻击 ( side channel attack 简称 SCA ) ,又称侧信道攻击,核心思想是通过加密软件或硬件运行时产生的各种泄漏信息获取密文信息。在狭义上讲,侧信道攻击特指针对密码算法的非侵入式攻击,通过加密电子设备在运行过程中的侧信道信息泄露破解密码算法,狭义的侧信道攻击主要包括针对密码算法的计时攻击、能量分析攻击、电磁分析攻击等,这类新型攻击的有效性远高于密码分析的数学方法,因此给密码设备带来了严重的威胁。在本例中,通过仔细监控功耗、声音、电磁发射或操作发生所需的时间等特征,攻击者可以收集足够的信息来恢复支撑加密算法安全性和机密性的密钥。
侧信道开发过程
最近发现的侧信道分别是 Minerva 和 Hertzbleed,分别于 2019 年和 2022 年被发现。Minerva 能够通过在一个称为标量乘法的加密过程中测量时序模式来恢复美国政府批准的智能卡的 256 位密钥。Hertzbleed 允许攻击者通过测量英特尔或 AMD CPU 执行某些操作的功耗来恢复后量子 SIKE 加密算法使用的私钥。考虑到一个使用时间测量,另一个使用电源测量,Minerva 被称为定时侧信道,而 Hertzbleed 可以被视为电源侧信道。
研究人员最近公布了一项新研究,展示了一种利用这些侧信道的新方法。第一种攻击使用连接互联网的监控摄像头在加密操作期间拍摄智能卡读卡器上电源 LED 或连接的外围设备的高速视频。这项技术使研究人员能够从 Minerva 使用的同一张政府批准的智能卡上提取 256 位 ECDSA 密钥。另一种方法使研究人员能够通过在连接到手机的 USB 扬声器的电源 LED 上训练 iPhone 13 的摄像头来恢复三星 Galaxy S8 手机的专用 SIKE 密钥,类似于 Hertzbleed 从英特尔和 AMD CPU 上获取 SIKE 密钥的方式。
电源 led 用于指示设备何时打开,它们通常会发出蓝色或紫色的光,亮度和颜色会根据所连接设备的功耗而变化。
这两种攻击都有局限性,使得它们在许多现实场景中不可行。尽管如此,已发表的研究还是具有开创性的,因为它提供了一种全新的方式来促进侧信道攻击。不仅如此,新方法还消除了阻碍现有方法利用侧信道的最大障碍,即需要示波器、电探针或其他物体等仪器接触或靠近被攻击的设备。
在 Minerva 的示例中,为了让研究人员收集足够精确的测量数据,智能卡读卡器的主机必须被攻破。相比之下,Hertzbleed 并不依赖于受攻击的设备,而是花了 18 天的时间与易受攻击的设备进行持续交互,以恢复私钥。要攻击许多其他侧信道,例如第二次世界大战加密电传终端中的侧信道,攻击者必须在目标设备上或附近安装专用且通常昂贵的仪器。
近期发布的基于视频的攻击减少或完全消除了此类要求,要想窃取存储在智能卡上的私钥,只需要在距离目标读卡器 20 米远的地方安装一个联网的监控摄像头。三星 Galaxy 手机的侧信道攻击可以通过已经在同一个房间里的 iPhone 13 摄像头来执行。
本文的亮点就是你不需要连接探测器、连接示波器或使用软件定义的无线电。该方法没有攻击性,你可以使用智能手机等普通或流行的设备来实施攻击。对于连接互联网的摄像机来说,你甚至不需要接近物理场景就可以实施攻击,这是软件定义的无线电或连接探针或类似物无法做到的。
与传统的侧信道攻击相比,该技术还有另一个好处:精确性和准确性。Minerva 和 Hertzbleed 等攻击通过网络泄露信息,这会引入延迟并增加噪声,而这些噪声必须通过从大量操作中收集数据来补偿。这一限制导致 Minerva 攻击需要目标设备被破坏,而 Hertzbleed 攻击需要 18 天时间。
使用卷帘快门 ( rolling shutter )
令许多人惊讶的是,一台记录电源 LED 的标准摄像机提供了一种数据收集方式,对于测量通过侧信道泄漏的信息来说,这种方式要高效得多。当 CPU 执行不同的加密操作时,目标设备消耗不同的电量。这些变化会导致设备或连接到设备的外围设备的电源 LED 的亮度变化,有时还会导致颜色变化。
为了足够详细地捕捉 LED 的变化,研究人员启动了新型相机中可用的卷帘快门。卷帘快门是一种图像捕捉形式,在某种程度上类似于延时摄影。它以垂直、水平或旋转的方式逐行快速记录帧。传统上,相机只能以其帧速率拍摄照片或视频,帧速率最高可达每秒 60 至 120 帧。
该说明了卷帘快门捕捉旋转光盘背后的原理
激活卷帘快门可以提高采样率,每秒收集大约 60,000 个测量值。研究人员在设备执行加密操作时,将当前打开或连接在设备上的电源 LED 完全填充到一个框架中,利用卷帘快门,使攻击者有可能收集到足够的细节来推断存储在智能卡、手机或其他设备上的密钥。
这是可能的,因为设备的电源 LED 的强度 / 亮度与其功耗相关,因为在许多设备中,电源 LED 直接连接到电路的电源线,缺乏有效的手段 ( 例如,滤波器,电压稳定器 ) 来解耦相关性。
研究人员实证分析了视频摄像机的灵敏度,并表明它们可以用于进行密码分析,原因有两个,一是设备的电源 LED 的视频片段的单个 RGB 通道的有限 8 位分辨率 ( 256 值的离散空间 ) 足以检测由加密计算引起的设备功耗差异,二是摄像机的卷帘快门可以利用视频片段中电源 LED 的强度 / 亮度的采样率提高到执行密码分析所需的水平,即将视频片段中电源 LED 的强度 / 亮度的测量次数 ( 采样率 ) 增加三个数量级,从 FPS 速率 ( 每秒提供 60-120 次测量 ) 到卷帘快门速率 ( 在 iPhone 13 Pro Max 中每秒提供 6 万次测量 ) ,通过缩放目标设备电源 LED 上的摄像机,使 LED 的视图填充整个视频片段。这样,可以使用摄像机作为专业专用传感器的远程攻击替代品,这些传感器通常用于密码分析(例如,示波器、软件定义的无线电)。
视频 1和视频 2 分别显示了智能卡读卡器和三星 Galaxy 手机在执行加密操作时的视频捕获过程。用肉眼看,这段视频看起来没什么特别的。
但是,通过分析绿色通道中不同 RGB 值的视频帧,攻击者可以识别加密操作的起止进程。
一些限制条件
研究中假设的威胁模型是,目标设备正在创建数字签名或在设备上执行类似的加密操作。该设备具有标准开 / 关类型 1 或指示电源类型 2 电源 LED,其保持恒定颜色或响应触发的加密操作时改变颜色。如果设备没有 1 型或 2 型电源 LED,则必须连接到有此功能的外围设备。这些电源 LED 的亮度或颜色必须与设备的功耗相关。
攻击者是一个恶意实体,可以在加密操作发生时持续录制设备或外围设备 ( 如 USB 扬声器 ) 的电源 LED。在智能卡读卡器的示例中,攻击者首先通过攻击距离读卡器电源 LED 近 20 米远的监控摄像头来获取视频。摄像头被劫持的前提是,攻击者必须能够控制摄像头的缩放和旋转。考虑到许多联网摄像机被研究人员、现实世界的僵尸网络运营商和其他攻击者主动攻击的示例,目前假设条件并不是一个特别高的要求。
当摄像头在近 20 米远的地方时,房间的灯必须关闭,但如果监控摄像头在大约 2 米远的位置时,则可以打开灯。攻击者也可以用 iPhone 记录智能卡读卡器的电源 LED。视频必须持续运行 65 分钟,在此期间,阅读器必须不断地执行操作。
对于三星 Galaxy,攻击者必须能够在相当近的距离内记录 USB 连接扬声器的电源 LED,同时手机执行 SIKE 签名操作。
攻击假设存在一个现有的侧信道,该信道在执行加密操作时泄露设备的功耗、时间或其他物理表现。插入读卡器的智能卡使用了一个代码库,该代码库尚未针对 Minerva 攻击进行修补。三星 Galaxy 使用的一个库仍然容易受到 Hertzbleed. 的攻击,很可能在未来发现的一些侧通道也会允许此类攻击。
威胁模型极大地限制了当前攻击的工作场景,因此攻击不太可能针对军事基地或其他高安全设置中使用的读卡器。
这是因为读卡器本身很可能是修复过的,即使没有被修复,在这些环境中发给员工的智能卡也会每隔几年轮换一次,以确保它们包含最新的安全更新。即使读卡器和智能卡都容易受到攻击,读卡器也必须在整整 65 分钟内持续处理卡,这在安全检查中的标准刷卡过程中是不可能实现的。
但并非所有设置都受到如此严格的限制。这六种智能卡读卡器都可以在亚马逊上买到,并且与美国军方使用的通用门禁卡 ( 称为 cac ) 兼容。其中四个阅读器的广告上写着 " 国防部 "、" 军队 " 或两者兼而有之。军方或政府人员在远程登录非机密网络时使用这种读卡器均属正常。
一般来说,只要你的操作系统支持特定的制造商和型号,访问国防部资源需满足两个条件即可,1. 为操作系统安装了当前的根和国防部 CA,以信任你的智能卡证书和你连接的网站 / 服务的证书,2. 有问题的资源可以从公共互联网直接访问而不是先连接内部 VPN。公司、州或地方政府以及其他组织则没有那么多限制。
三星 Galaxy 攻击的另一个限制是,在发现一种使用复杂数学和一台传统 PC 来恢复保护加密交易的密钥攻击后,SIKE 算法被进行了限制。
对于此假设攻击,三星进行了回复:
我们可以确认,研究人员在 Galaxy S8 上开发的假设攻击已于 2022 年向我们报告,经过审查,并被视为低风险,因为我们的设备上没有使用特定的算法。消费者隐私至关重要,我们将对所有设备保持最高标准的安全协议。
研究人员丹尼尔 · 格鲁斯 ( Daniel Gruss ) 说,尽管这种攻击目前还处于理论层面,但研究结果绝对是有趣和重要的,特别是在发现了 Hertzbleed 和 Platypus 的类似攻击之后。与 Platypus、Hertzbleed 等相关攻击越来越多,关键是电源侧信道攻击可以泄露的信息非常多。随着基于远程软件的攻击或本文提出的基于视频录制 / 空气间隙的攻击,攻击成功率提高了很多。另外,许多研究人员都观察到,随着新技术和漏洞的发现,攻击只会随着时间的推移而变得更易实现。从硬件发展角度来讲,现在某些限制的因素,比如摄像机,未来随着设备快速发展,几年后本文讲的理论上的攻击可能会增加攻击范围或缩短攻击所需的时间。
研究人员还对当今基于视频的密码分析的真正潜力表示担忧。在本文所说的研究中,他们专注于常用和流行的摄像机,以演示基于视频的密码分析,即一个 RGB 通道的 8 位空间、全高清分辨率和支持的最大快门速度。然而,新版本的智能手机已经支持 10 位分辨率的视频片段,例如,iPhone 14 Pro MAX 和三星 Galaxy S23 Ultra。此外,分辨率为 12-14 位的专业摄像机已经存在,2 样的摄像机可能提供更高的灵敏度,这可能使攻击者能够通过电源 LED 的强度来检测设备功耗的非常细微的变化。此外,许多互联网与现有研究中使用的摄像机 ( 25 倍 ) 相比,具有更大光学变焦能力的联网安全摄像机 ( 30 倍至 36 倍 ) 已经存在,并且可能已经广泛部署。这种安全摄像机可能允许攻击者从比本文所演示的更远的距离对目标设备进行基于视频的密码分析。最后,新的专业摄像机目前支持 1/180,000 的快门速度 ( 例如,富士胶片 X-H2.3 ) ,使用这种摄像机可能允许攻击者以更高的采样率获得测量结果,这可能会使其他设备面临基于视频的密码分析的风险。
研究人员给制造商推荐了几种对策,以增强设备抵御基于视频的密码分析。其中最主要的是通过集成一个起 " 低通滤波器 " 的电容器来避免使用指示电源 LED。另一种选择是在电源线和电源 LED 之间集成一个运算放大器。
目前尚不清楚受影响设备的制造商是否或何时会添加此类防范措施。目前,建议那些不确定自己的设备是否存在漏洞的人应该考虑在电源 LED 上贴上不透明的胶带。