North Carolina State Üniversitesi’ndeki araştırmacılar, homomorfik şifreleme adı verilen ve şifrelenmiş veriler üzerinde işlemlerin gerçekleştirilmesine olanak tanıyan yeni gelişen bir güvenlik teknolojisine yönelik ilk başarılı yan kanal saldırısı olduğunu iddia ettikleri şeyi geliştirdiler.
Teknik, 23 Mart’ta sanal DATE22 konferansında sunulacak ve homomorfik olarak şifrelenme sürecindeyken bile verileri çalmanın bir yolunu içeriyor. Makalenin baş yazarı, NC State’de doktora öğrencisi olan Furkan Aydın’dır ve üniversitedeki diğer üç araştırmacı ile birlikte yazılmıştır.
NC State’in elektrik ve bilgisayar mühendisliği bölümünde yardımcı doçent olan Aydın Aysu, saldırıyı filmlerde kasayı dinleyerek kasayı kırmak için kilit toplayıcılara benzetiyor. Aysu, “Aynı şeyi bilgisayar donanımında da yapıyoruz” diyor. “Bir cihazın bazı kriptografik işlemleri hesaplarken güç tüketimini dinliyoruz. … Böylece, devam eden gerçek hesaplamaları çıkarabiliriz.”
Homomorfik şifreleme, diğer şeylerin yanı sıra kuruluşların bulut ortamlarında verileri güvenli bir şekilde depolamasını, kullanmasını ve yönetmesini kolaylaştırmak için birkaç yıl önce geliştirilmiş bir yaklaşımdır. AES gibi tipik şifreleme yöntemlerinden farklı olarak, homomorfik şifreleme, bilgi işlem işlemlerinin gizli bir anahtar kullanılmadan doğrudan şifrelenmiş veriler üzerinde gerçekleştirilmesine olanak tanır. açık konsorsiyum teknoloji etrafında standartlar geliştirmeye odaklanmıştır.
Bir kuruluşun verileri bulutta güvenli bir şekilde depolamasına ve bulut operatörüne gizli şifreleme anahtarına erişim sağlamak zorunda kalmadan veya verileri yerel olarak indirip üzerinde çalışmasına gerek kalmadan veriler üzerinde analitik gerçekleştirmesine olanak tanır. Konsorsiyumun teknoloji açıklamasına göre, “Bulut doğrudan şifrelenmiş veriler üzerinde çalışabilir ve verilerin sahibine yalnızca şifrelenmiş sonucu verebilir”. “Daha karmaşık uygulama senaryoları, üçüncü bir tarafın üzerinde çalışabileceği özel verilere sahip birden fazla taraf içerebilir ve sonucu, şifresi çözülecek bir veya daha fazla katılımcıya geri gönderebilir.”
“Çoğunlukla Araştırma Aşamasında”
Homomorfik şifreleme için – veri gizliliği ve mevzuata uygunluk gibi alanlar da dahil olmak üzere – çok sayıda kullanım örneğine rağmen, teknoloji hala geniş çapta benimsenmekten biraz uzakta, çünkü esas olarak algoritmalar hala nispeten görecelidir. yavaş ve muazzam depolama gereksinimlerine sahip. Homomorfik şifreleme “yaygın değil [used] Konvansiyonel sistemlere kıyasla” diyor Aysu. “Daha çok araştırma aşamasında ve pratik uygulamalara yöneliyor.”
bu saldırı tekniği NC State’teki araştırmacıların geliştirdiği, Microsoft adı verilen tamamen homomorfik şifrelemenin bir Microsoft uygulamasında bir güvenlik açığı içerdiğini Basit Şifreli Aritmetik Kitaplığı (MÜHÜRLEMEK). Microsoft SEAL, şifrelenmiş veriler üzerinde bilgi işlem işlemleri gerçekleştirmek için bir şifreleme kitaplıkları koleksiyonudur. Araştırmacıların “güç tabanlı yan kanal sızıntısı” olarak tanımladıkları güvenlik açığı, araştırmacılara göre teknolojinin 3.6 sürümü aracılığıyla SEAL homomorfik şifreleme kitaplığında mevcut. Saldırganların, veriler homomorfik olarak şifrelenirken verileri düz metin olarak çıkarmak için şifreleme işlemlerini yapan cihazdan tek bir güç ölçümü kullanmasını sağlar.
Aysu, güvenlik açığının, saldırganların şifrelemeyi yapan makineyi dinlemesine ve 0 bit mi yoksa 1 bit mi işlendiği konusunda çıkarım yapmasına olanak tanıdığını söylüyor. “Cihazda yürütülen verileri veren yazılım kodundaki birkaç satırdır” diyor. “Bu bilgi, bazı süslü denklemler kullanmamıza ve homomorfik bir şifreleme şemasında şifrelenen gizli mesajları bulmamıza izin veriyor.”
Saldırıyı gerçekleştirmek için, bir düşmanın cihazın güç tüketimini ölçebilmesi gerekir. Saldırganın ya aynı yerde bulunması ya da cihazdaki güç tüketimini uzaktan izleyebilmesi gerekeceğini söylüyor.
Bir saldırganın, güvenlik açığı aracılığıyla bir saldırı yürütmek için çok fazla para veya zaman harcamasına gerek yoktur. Aysu, örneğin, NC State’deki araştırmacıların, saldırıları pratikte gerçekleştirmek için 1.000 dolardan daha az ve en fazla yaklaşık bir saat maliyetli ekipmana ihtiyaç duyduklarını söylüyor. Ancak saldırıların ortalama senaryo çocuklarının yeteneklerinin çok ötesinde olduğunu söylüyor. “Bunlar yürütülmesi zor saldırılar [that] Doktora düzeyinde bilgiye ihtiyaç var”, yürütmek için.
Aysu, Microsoft’un sorunun farkında olduğunu ve Microsoft SEAL’in daha yeni sürümlerinin etkilenmediğini iddia ettiğini söyledi.
