Bin gerade über folgenden Beitrag gestolpert. Die scheien das wirklich ernst zu meinen: http://www.heise.de/newsticker/meldung/Handy-erlauscht-RSA-Schluessel-2070254.html?wt_mc=rss.ho.beitrag.rdf Für mich klingt das allerdings mehr als abgwegig! Was meint ihr?
Boris B. schrieb: > Für mich klingt das allerdings mehr als abgwegig! Was meint ihr? Klar, warum sollte das nicht gehen. Das Bios ist so konfiguriert, dass es selbstständig bei RSA Schlüssel die CPU Lüfterdrehzahl moduliert und damit den Schlüssel an das Handy überträgt. Alternativ gibt es auch das Verfahren über die Festplatte. Das wurde allerdings schon vor über 30 Jahren erfunden: http://www.youtube.com/watch?v=yHJOz_y9rZE
Die scheinen das tatsächlich ernst zu meinen...der 1. April ist ja noch weit weg...
Boris B. schrieb: > Für mich klingt das allerdings mehr als abgwegig! Damals klang es auch abwegig, wenn man von der totalen überwachung gesprochen hat, oder das der Mensch mal "fliegen" wird. Du hast die falsche herangehensweise. Gerade nach dem ganzen Spionage gedingse der letzen wochen solltest du nicht fragen: "Ist das überhaupt möglich?" sondern du solltest fragen: "Warum sollte das nicht möglich sein?!" Es ist mitlerweile so ziemlich alles möglich, z.B. über ein Handy, das auf dem Schreibtisch liegt, erkennen was du auf deiner Tastatur tippst, und das nur anhand der Vibrationen die du beim Tippen auslöst. Also: Warum sollte das mit den geräuschen nicht funktionieren?
Kaj schrieb: > du solltest fragen: "Warum sollte das nicht möglich sein?!" Genau das habe ich mich ja gefragt. Und bin auf 1000 Gründe gestoßen: - Mikrofon des Handys viel zu unempfindlich - Zeitauflösung des Handys viel zu gering (hier geht es ja um Nanosekunden, vermute ich mal) - Viel zu viele Störungen - Jeder Rechner ist anders (Bauteile, Gehäuse etc.) - Es kann beliebig viel parallel auf dem Rechner laufen - usw.
Einfach mal den 57-seitigen Artikel lesen, da ist fast alles im Detail erklärt. Ich habe ihn mal grob überflogen, aber nicht alles verstanden, weil ich zu wenig Ahnung von diesen Krypto-Algorithmen habe. Ein paar der aufgetretenen Fragen kann ich aber vielleicht beantworten: > - Zeitauflösung des Handys viel zu gering (hier geht es ja um > Nanosekunden, vermute ich mal) Die nutzen primär die akustischen Schwingungen des DC/DC-Wandlers, der die CPU versorgt. Man hört bei Laptops manchmal schon mit bloßem Ohr ein leises Zirpen, dessen Frequenz von der CPU-Last abhängt. Genau dieses Geräusch wird analysiert. > - Mikrofon des Handys viel zu unempfindlich Die vom DC/DC-Wandler erzeugten Frequenzen hängen vom Laptop-Typ ab. Sie liegen bspw. beim Lenovo T61 bei 35 kHz und beim T23 und X300 bei 15 bis 22 kHz. Außerdem machen nicht alle Rechner gleich viel Lärm. Mit einem ordentlichen Messmikrofon, das weit bis in den Ultraschallbereich hineinreicht, sind deswegen logischerwise bessere Ergebnisse erzielbar, während mit einem lausigen Handy-Mikrofon, dessen Bandbreite auf etwa 24 kHz beschränkt ist, nicht alle Laptop-Typen angreifbar sind. > - Viel zu viele Störungen Störungen können bis zu einem gewissen Grad eliminiert werden, wenn sie im Frequenzspektrum die Nutzsignale nicht überdecken. Die Chance, dass sie das tun, ist relativ gering, wenn man nur nahe genug mit dem Mikrofon an die Schallquelle herankommt. Für Abstände von mehr als einem Meter wird ein Richtmikrofon vorgeschlagen. > - Jeder Rechner ist anders (Bauteile, Gehäuse etc.) Wie damit umgegangen wird, ist mir aus dem Artikel auch nicht ganz klar geworden. Vielleicht sollte man ihn noch einmal etwas genauer durchlesen. Das Verfahren beruht darauf, dass nacheinander viele verschlüsselte E-Mails an den Rechner gesandt werden, die der Mail-Client automatisch entschlüsselt. Die Inhalte der Mails werden dabei abhängig von den bisherigen Ergebnissen so generiert, dass dabei jedesmal genau 1 Bit des RSA-Keys ermittelt werden kann. Möglicherweise findet dabei eine Art Lernprozess der akustischen Signaturen statt. Selbst wenn so etwas noch nicht implementiert wurde, könnte das ja noch gemacht werden. > - Es kann beliebig viel parallel auf dem Rechner laufen Auf einem Rechner, der nur da steht und E-Mails empfängt, laufen typischerweise nicht viele Prozesse, und die paar wenigen sind meist nur sporadisch im Sub-Millisekundenbreich aktiv. Ich nehme an, dass diese kurzzeitigen Störungen durch das Verfahren eliminiert werden können. Im Zweifelsfall wird einfach der aktuelle Bitextraktionszyklus wiederholt. > - usw. Das Ganze hakt etwas daran, dass dem Benutzer des angegriffenen PCs nicht auffallen darf, dass da kurz hintereinander um die tausend seltsam anmutende Mails eintreffen. Deswegen wird vorgeschlagen, die Mails als Spam zu tarnen, so dass sie direkt nach der Entschlüsselung sofort im Spam-Mülleimer landen. Alles in allem glaube ich nicht, dass das Verfahren schon in der realen Welt einsetzbar ist. Es ist aber ein Ansatz, der sicher von der NSA und anderen kriminellen Vereinigungen genauer unter die Augen genommen und weiterentwickelt werden wird, wenn dies nicht längst schon geschehen ist.
:
Bearbeitet durch Moderator
Yalu X. schrieb: > Alles in allem glaube ich nicht, dass das Verfahren schon in der realen > Welt einsetzbar ist. Dito. Unter Laborbedingungen ist das denkbar. Praktisch aber eher schwierig durchzuführen. Ähnlich wie das Auslesen tiefgekühlter RAM-Riegel. Allerdings weiß man nie, welchen Aufwand die Geheimdienste treiben, um entsprechende Verfahren praxisreif zu entwickeln. Bis vor kurzem hielt die Welt es auch noch für unmöglich, 128-Bit Verschlüsselung on-the-fly zu knacken.
Icke ®. schrieb: > Yalu X. schrieb: >> Alles in allem glaube ich nicht, dass das Verfahren schon in der realen >> Welt einsetzbar ist. > > Dito. Unter Laborbedingungen ist das denkbar. Praktisch aber eher > schwierig durchzuführen. Ähnlich wie das Auslesen tiefgekühlter > RAM-Riegel. Einfach das Paper lesen oder die Webseite dazu ansehen ;) http://tau.ac.il/~tromer/acoustic/ p.s. Adi Shamir ist übrigens das S in RSA...
Also etwa das, was als Temperproblem bei SmartCards seit Jahren existiert. Achja: Wenn ein Kryptograf davon spricht, ein paar Test-Nachrichten durch ein unbekannten Verschlüsselungsmechanismus zu schicken, dann meint er in der Regel nicht nur ein paar Tausend ;). Ich wusste es doch, wir haben also der RSA inc. die ganzen Spammails der letzten Jahre zu verdanken :D
Das ganze ist ziemlich theoretisch. Ich finde es aber sehr beruhigend dass es sogar für so einen "Blödsinn" einen Fix gibt. Das bedeutet, da gibt es Leute die das Ernst nehmen und sich kümmern.
:
Bearbeitet durch User
Yalu X. schrieb: > dass nacheinander viele > verschlüsselte E-Mails an den Rechner gesandt werden, die der > Mail-Client automatisch entschlüsselt. Ich weiß nicht, ob das jetzt für alle Clients gilt, aber Thunerbird mit Enigmail fragt ja nach dem Passwort für den Schlüssel (und speichert das dann ein paar Minuten). Also "automatisch" läuft da nichts.
Man muss ja nicht gleich alle Bits des Schlüssels mit diesem Verfahren herausfinden. Wenn man das Wissens das nicht alle Keys auch ein Produkt zweier Primzahlen sind einsetzt und noch ein bisschen Brutforce hinzufügt kann denke ich jemand mit genug Rechenleistung das ganze auf eine Anzahl heruntersetzen die als normales Spamniveau nicht auffällt.
Boris B. schrieb: > Die scheien das wirklich > ernst zu meinen: Wenn "Shamir" überm Paper steht, dann sollte man das durchaus ernst nehmen. Kannst ja mal googeln für was das S in RSA steht ;-) So ein Angriff ist durchaus möglich: Sobald es Korrelationen zwischen geheimen (Zwischen)werten und einer von außen messbarer Größe gibt, dann lässt sich das theoretisch angreifen. Praktisch ist dann nur noch fraglich, ob die Messgenauigkeit, das Können, die Rechenpower und der Speicherplatz des Angreifers ausreicht. Oliver Stellebaum schrieb: > Das ganze ist ziemlich theoretisch. Dafür, dass es auch im praktischen Aufbau funktioniert, würde ich das nicht als "ziemlich theoretisch" bezeichnen. Es gibt einige Krypto-Paper die man als theoretisch bezeichnen könnte: Der AES-256 soll auf eine Komplexität 2^(126.1) reduzierbar sein. DAS ist theoretisch, weil es immer noch weit außerhalb des machbaren liegt. Boris B. schrieb: > - Viel zu viele Störungen Mittelt sich heraus, über genügend viele Messungen. > - Jeder Rechner ist anders (Bauteile, Gehäuse etc.) Sobald ne Korrelation da ist, lässt es sich angreifen. Ob die Frequenz jetzt bei 20 kHz oder 30 kHz liegt ist egal. > - Es kann beliebig viel parallel auf dem Rechner laufen Siehe oben: So etwas kann man herausmitteln An der Uni hier (TUM Master Elektrotechnik) gibts ne Vorlesung nur über Angriffe und wie man Algorithmen dagegen absichern kann. Zuerst wundert man sich immer wie das nur funktionieren kann: - Ein schlecht implementierter RSA kann über eine Timing-Attacke geknackt werden. - Ein AES128 auf einem Atmega ist ohne Gegenmaßnahmen auch leicht angreifbar: ca. 300 Verschlüsselungen durchführen, Stromaufnahme messen, Schlüssel in 1 Minute am PC errechnen. (Nennt sich DPA) - Den AES128 kann man ebenfall per Timing-Attacke angreifen (gibts verschiedenen Möglichkeiten, je nach Implementierung). Die Ausrüstung für solche Attacken war lange Zeit sehr teuer. Mittlerweile ist man mit ein paar hundert Euro und nem PC gut dabei. Vor 10 Jahren wäre ne DPA sehr teuer geworden: Digitales Oszilloskop, einige hundert MB Speicher oder RAM, Rechenpower etc. Auch wenn ein Angriff HEUTZUTAGE eher "theoretisch" und nicht praktisch interessant erscheint, könnte er in naher Zukunft durchaus relevant werden. Es macht also sehr wohl Sinn, dass man Algorithmen gegen solche Lücken absichert.
Wenn die Prozessorlast nicht nur von der Schlüssellänge, sondern auch vom Inhalt des Schlüssels abhängt, dass ist das Verschlüsslungsverfahen eh faul. Der Verschlüsslungsalgorithmus muss stets die gleiche Anzahl Rechenschritte erfordern und somit die gleiche Prozessorlast erzeugen, egal oder Schlüssel "AAAAAAAAAAAAAA", "ZZZZZZZZZZZZZZ" oder "õf(YbEÓ²+@fEÓ»ÕCy.}êÅ" ist. Kein Bit an keiner Stelle darf bevorzugt oder benachteiligt werden!
Marek N. schrieb: > Wenn die Prozessorlast nicht nur von der Schlüssellänge, sondern auch > vom Inhalt des Schlüssels abhängt, dass ist das Verschlüsslungsverfahen > eh faul. Nicht das Verfahren, sondern die Implementierung lässt an Perfektion zu wünschen übrig.
Bei DPA geht umso besser, wenn die Implementierung exact dieselben Schritte macht, denn es wird gemessen, wieviel Bits im Ram getoggelt werden.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.