Bir grup araştırmacı, belirli bir uygulamadaki bir güvenlik açığı olduğunu söylediği şeyi ortaya çıkardı. KRİSTALLER-KyberABD hükümeti tarafından geçen yıl kuantuma dayanıklı olarak seçilen şifreleme algoritmalarından biri.
KTH Royal Institute of Technology’den Elena Dubrova, Kalle Ngo ve Joel Gärtner, “ARM Cortex-M4 CPU’daki CRYSTALS-Kyber’in beşinci sıraya kadar maskelenmiş uygulamalarına yönelik yan kanal saldırıları” ile ilgili açıktan yararlanıyor. söz konusu bir kağıtta.
CRYSTALS-Kyber, ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından bilgi işlem gücündeki büyük sıçramalara dayanabilecek bir dizi yeni nesil şifreleme standardı belirlemek için çok yıllı titiz bir çabanın ardından seçilen dört post-kuantum algoritmasından biridir.
Adından da anlaşılacağı gibi bir yan kanal saldırısı, fiziksel parametrelerin ölçümü ve analizi yoluyla bir kriptosistemden sırların çıkarılmasını içerir. Bu tür parametrelerin bazı örnekleri, besleme akımı, yürütme süresi ve elektromanyetik emisyonu içerir.
Altta yatan fikir, kriptografik bir uygulamanın sonucu olarak ortaya çıkan fiziksel etkilerin, şifreli metin ve şifreleme anahtarları gibi hassas bilgilerin kodunu çözmek ve bunları çıkarmak için kullanılabileceğidir.
Fiziksel saldırılara karşı kriptografik uygulamaları güçlendirmek için popüler karşı önlemlerden biri maskelemeHangi rastgele hesaplamayı gerçekleştirir ve yan kanal bilgisini sırra bağımlı kriptografik değişkenlerden ayırır.
Başka bir araştırmacı grubu, “Gizlemenin temel ilkesi, kriptografik algoritmanın her bir hassas ara değişkenini, gizli paylaşımı kullanarak birden çok paylaşıma bölmek ve bu paylaşımlar üzerinde hesaplamalar yapmaktır.” açıkladı 2016 yılında
“Girdinin bölündüğü andan kriptografik algoritmanın paylaşılan çıktısının serbest bırakıldığı ana kadar, hassas ara değişkenlerin paylaşımları asla bu değişkenlerin maskesini kaldıracak şekilde birleştirilmez, yani paylaşılmayan hassas değişkenler asla açığa çıkmaz. hesaplama bittiğinde, paylaşılan çıktı maskesiz değerini ortaya çıkarmak için yeniden yapılandırılır.”
Araştırmacılar tarafından tasarlanan saldırı yöntemi, başarı olasılığı yüksek mesaj bitlerini kurtarmaya yardımcı olmak için özyinelemeli öğrenme adı verilen bir sinir ağı eğitim yöntemini içerir.
Araştırmacılar, “Derin öğrenmeye dayalı yan kanal saldırıları, maskeleme, karıştırma, rastgele gecikme ekleme, sabit ağırlıklı kodlama, kod polimorfizmi ve rastgele saat gibi geleneksel karşı önlemlerin üstesinden gelebilir” dedi.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
Araştırmacılar ayrıca, mesaj bitlerinin sızmasını artırmak için şifreli metinleri manipüle eden, böylece başarı oranını artıran ve oturum anahtarının çıkarılmasını mümkün kılan döngüsel döndürme adı verilen yeni bir mesaj kurtarma yöntemi geliştirdi.
“Böyle bir yöntem, yüksek dereceli maskelenmiş uygulamalardan %99’un üzerinde olasılıkla bir mesaj bitini kurtarabilen sinir ağlarını eğitmenize izin veriyor” diye eklediler.
Yorum için ulaşıldığında NIST, The Hacker News’e yaklaşımın algoritmanın kendisini bozmadığını ve bulguların CRYSTALS-Kyber’in standardizasyon sürecini etkilemediğini söyledi.
NIST’den Dustin Moody, “Yan kanal çalışması değerlendirmenin bir parçasıydı ve ileride üzerinde çalışılmaya devam edecek” dedi. alıntı Inside Quantum Technology (IQT) News’e söylendiği gibi. “Korumalı uygulamalara sahip olma ihtiyacını vurguluyor.”
“Yan kanalları kullanarak hemen hemen her kriptografik algoritmaya saldıran makaleler var. Karşı önlemler geliştirildi ve saldırıların çoğu gerçekçi veya gerçek dünya senaryolarında pratik değil.”
