Техника восстановления ключей шифрования через анализ шумов в сигнале от беспроводных чипов / wpa :: aes :: bluetooth :: wi-fi :: уязвимость :: решето :: geek (Прикольные гаджеты. Научный, инженерный и айтишный юмор)

Техника восстановления ключей шифрования через анализ шумов в сигнале от беспроводных чипов

Оригинал на opennet.ru

Группа исследователей из центра EURECOM разработала технику атаки (PDF) на комбинированные аналогово-цифровые чипы (mixed-signal) с компонентами для обеспечения беспроводной связи (WiFi, Bluetooth). Исследователям удалось разработать метод атаки по сторонним каналам, который позволяет воссоздать ключ шифрования на основе анализа шумов, вызванных наводками в процессе вычислений. Все компоненты, необходимые для проведения атаки, опубликованы на GitHub под лицензией GNU GPLv3.Смешанные аналогово-цифровые чипы включают в себя цифровые компоненты, размещённые в непосредственной близости от аналоговых схем, например, во многих SoC процессор и аналоговый генератор сигнала для беспроводных коммуникаций размещены на одной подложке и используют единые цепи питания. В процессе вычислений создаются наводки, которые накладываются на сигнал, генерируемый при работе Bluеtooth или WiFi, который затем усиливается и передаётся через антенну вместе с базовым сигналом.

решето,уязвимость,geek,Прикольные гаджеты. Научный, инженерный и айтишный юмор,wi-fi,bluetooth,wpa,aes

Вносимых шумов достаточно чтобы полностью восстановить применяемый для шифрования ключ AES-128 через анализ сигнала от Bloetooth-адаптера на расстоянии около 10 метров при использовании на стороне целевой системы библиотеки tinyAES и на расстоянии одного метра при использовании mbedTLS. Для определения ключа потокового шифра используется корреляционная атака, для осуществления которой применялся модифицированный инструментарий ChipWhisperer (опробованы два варианта кореллияционной атаки - CRA (Correlation Radio Attack) и TRA (Template Radio Attack), ранее разработанных для определения ключей на основании анализа перепадов напряжения в цепях питания).

Утечка информации через шумы не специфична для каких-то определённых производителей, например, возможность совершения атаки продемонстрирована для Bluetooth-чипа nRF52832 от компании Nordic Semiconductor и WiFi-брелока с интерфейсом USB на базе чипа AR9271 от Qualcomm/Atheros. Для захвата сигнала использовался универсальный программируемый приёмопередатчик USRP N210.

Packet boundaries One of the AES computations Bluetooth modulation,решето,уязвимость,geek,Прикольные гаджеты. Научный, инженерный и айтишный юмор,wi-fi,bluetooth,wpa,aes

А также под угрозой находится WPA2 стандарт в Wi-Fi. Т.к используется CCMP на основе AES 128 bit. Будущий стандарт WPA3 так же вероятно будет подвержен этой уязвимости в варианте Personal (128 bit), вариант Enterprise использует более длинный ключ 192 bit

Подробнее

Packet boundaries One of the AES computations Bluetooth modulation
решето,уязвимость,geek,Прикольные гаджеты. Научный, инженерный и айтишный юмор,wi-fi,bluetooth,wpa,aes

Еще на тему

geek(16816)

wi-fi(321)

Развернуть

Комментарии 2628.07.201807:01ссылка27.7

Интересно, сколько реакторчан побежало на github за кодом и начало стряхивать пыль со своих SDR приёмников?

mashch28.07.201808:14ответить ссылка 5.8

Это вроде старая тема? Чего она вдруг всплыла?

MapPoo28.07.201808:19ответить ссылка 1.6

Ну скорее всего потому что получен полноценный метод, а не просто теоретические выкладки.

Metaluka28.07.201808:29ответить ссылка ↑ 4.1

Честно говоря, несколько не понимаю. Если вычислительное ядро параллельно кроме прокручивания ключей занимается чем-то ещё, то этот мусор полезет в сигнал. Как из него вытаскивать ключ?

MapPoo28.07.201808:52ответить ссылка ↑ 0.9

Ключ один, мусор разный. Подождать немного времени и отфильтровать.

Licemer6128.07.201809:30ответить ссылка ↑ 3.4

Выглядит как какая-то карта

Авгусt28.07.201810:42ответить ссылка -1.2

Файл Г рафика ЦПУ Звук Настройки Помощь ц * - ^г: Щ1-: 1 швц ЯГек 4 <Г -.4 Н о о г ■ иооо £ 'Л ^ 1"" ^ г р ‘ -■ Г” 1. I %—

MeowBetelgeuse28.07.201813:59ответить ссылка ↑ 2.0

ScarletCrimson28.07.201811:32ответить ссылка 10.8

Что меня удивляет - так это неряшливость производителей. Долгие поколения чипов шины питания цифровой и аналоговой частей были независимы. Я сейчас немного ушла в другую тему. Кто в курсе, скажите - правда теперь они совмещены?
Насчет атаки, её ликвидировать легко на железячном уровне. Надо добавить небольшой шум к цепи питания.

Natalia3028.07.201811:36ответить ссылка -0.8

Насколько понял, они автокорелляционную функцию для повторяющегося ключа подбирают.

MapPoo28.07.201811:42ответить ссылка ↑ 0.4

USRP довольно дорогая штука, вот если это можно будет сделать на свисток за 5 баксов, тогда опаньки.

а какая разница какой длины ключ? ну послушать эфир на пять минут подольше, проблема прям)

krako28.07.201811:47ответить ссылка 1.9

>>а какая разница какой длины ключ? ну послушать эфир на пять минут подольше

Ну, я с подробностями атаки еще не разбирался, но для получения ключа они использовали корреляционную атаку, для которой скорей всего количество требуемого перехваченого трафика растет экспоненциально и "на 5 минут дольше" может превратится в "на 5 дней дольше"

OneUser28.07.201813:49ответить ссылка ↑ 0.4

Держи нас в курсе.

ЮныйОлдфаг28.07.201815:22ответить ссылка ↑ 0.7

Можно пожалуйста сказать для альтернативно одарённых?

Solid T28.07.201812:35ответить ссылка -4.4

Да нет, наверное.

MapPoo28.07.201812:36ответить ссылка ↑ 1.1

Лет 5-10 точно.

Hagh28.07.201815:19ответить ссылка ↑ -2.5

Теперь в фольгу придётся оборачивать не только голову, но и все свои электроприборы

Алексей Шибаев28.07.201813:44ответить ссылка ↑ 2.7

В интересное всё таки время мы живем.

behmaul28.07.201813:24ответить ссылка -0.2

Интересно, хоть один прочитавший это реакторчанен реализовал это в действии? Думаю, нет

freelsd28.07.201816:26ответить ссылка -0.3

На реакторе много технарей. Думаю кто-то все же реализовал. Учитывая, что иследователи выложили все в открытый доступ, то для реализации просто требуются прямые руки и свободный вечер. Был бы у меня свободный программируемый трансивер - я бы тоже поигрался)

OneUser29.07.201800:23ответить ссылка ↑ -0.1

Попробую намедни. В наличии запылившийся HackRF One. Может быть псто накатаю с результатами, если не поленюсь.

MagnusKos29.07.201802:30ответить ссылка ↑ 0.0

Мне вот интересно, нахуя они вообще это придумали?

PrismaticShift29.07.201803:39ответить ссылка -0.1

их за это могут принять на крутую джобу, потом энтузиазм по типу "а закройтека дыры в вайфае, у нас бомбит"
опять же спасибо в виде бабла от WiFi сообщества.