Vliv architektury kryptografick²ch prost°edk∙ na bezpeΦnost
Kryptografie v klidu a bezpeΦφ
Tvrzenφ o tom, ₧e kdy₧ dva d∞lajφ totΘ₧, nemusφ to b²t v₧dy totΘ₧, pat°φ bezesporu mezi nejstarÜφ lidovou moudrost. Jako sprßvn² axiom se p°itom tento v²rok velmi dob°e uplat≥uje i na takovΘ obory, kterΘ vznikly a₧ dßvno po jeho vy°Φenφ. Mezi n∞ pat°φ bezesporu i kryptografie a cφlem nßsledujφcφho serißlu bude ukßzat proΦ.
B²valy doby, kdy se zßjem kryptolog∙ soust°edil zejmΘna na nßvrh a anal²zu zßkladnφch kryptografick²ch schΘmat, jako jsou Üifrovacφ algoritmy, podpisovß schΘmata, autentizaΦnφ protokoly a podobn∞. Z°φdka pak byla v∞novßna stejnß pozornost vzßjemnΘmu propojovanφ t∞chto mechanism∙ a tΘm∞° v∙bec ₧ßdn² zßjem pak nebudila otßzka jejich vlastnφ fyzickΘ realizace. Zhruba od roku 1996 (vyjma tajn²ch agentur) pat°φ vÜak ji₧ tyto nßzory toliko do kryptologick²ch muzeφ a kronik. D∙vod je prost² û pokud studujeme pouze zßkladnφ matematick² popis vybranΘho mechanismu bez uvß₧enφ jeho fyzickΘ realizace, tak se vlastn∞ pohybujeme v abstraktnφm sv∞t∞, kter² se od toho skuteΦnΘho, ve kterΘm je nakonec navr₧en² prost°edek pou₧φvßn, vφce Φi mΘn∞ liÜφ. NßÜ pohled je tak urΦit²m zp∙sobem zast°en a m∙₧e se snadno stßt, ₧e neuvidφme lecjakΘ zßva₧nΘ nedostatky.
Celou situaci nßzorn∞ ilustrujφ obrßzky 1 a 2. Na prvnφm vidφme studovan² mechanismus tak, jak si jej p°edstavujeme v abstraktnφm matematickΘm sv∞t∞, ve kterΘm byl tento navr₧en a analyzovßn. Na druhΘm obrßzku je pak vyobrazen t²₧ mechanismus, avÜak ji₧ s uvß₧enφm p°φsluÜn²ch implementaΦnφch detail∙. ZjednoduÜen∞ m∙₧eme konstatovat, ₧e rozdφl zde spoΦφvß v tom, ₧e na druhΘm obrßzku jsou vid∞t komunikaΦnφ kanßly, se kter²mi autor nepoΦφtal a po kter²ch se mohou Üφ°it informace, o nich₧ nem∞l kryptoanalytik zkoumajφcφ ·rove≥ bezpeΦnosti ani tuÜenφ. Navφc se ukazuje, ₧e tyto kanßly mohou b²t za urΦit²ch okolnostφ obousm∞rnΘ. ┌toΦnφk tak m∙₧e nejen sledovat vnit°nφ chovßnφ napadenΘho systΘmu, ale m∙₧e jej dokonce i p°inutit k tomu, aby sv∙j vnit°nφ stav podle jeho v∙le zm∞nil. V takovΘm sv∞tle se pak m∙₧e ukßzat "papφrov∞" kvalitnφ kryptoschΘma jako naprost² outsider.
Souvislost s ·vodnφm p°φslovφm je nynφ ji₧ nasnad∞, nebo¥ pohled na obrßzku 2 nßm jasn∞ °φkß, ₧e pokud budeme mφt dv∞ za°φzenφ, kterß implementujφ stejn² kryptografick² mechanismus se stejn²mi parametry, tak to jeÜt∞ neznamenß, ₧e ob∞ za°φzenφ jsou stejn∞ bezpeΦnß. V₧dy toti₧ bude zßle₧et jeÜt∞ na zp∙sobu jejich vlastnφ konstrukce.
ZaΦalo to lΘta P. 1996
Patrn∞ jednou z prvnφch pracφ, kterΘ se vß₧n∞ji zaobφraly vlivem architektury kryptografick²ch prost°edk∙ na jejich bezpeΦnost, byl Φlßnek [KOCH96]. Jeho autor si v n∞m vÜφmß u₧iteΦnosti informace, kterou ·toΦnφk zφskß m∞°enφm doby kryptografickΘ transformace vyu₧φvajφcφ jemu neznßm² privßtnφ klφΦ (takzvan² Timing Attack û TA). Ukßzalo se, ₧e tato informace m∙₧e b²t velmi cennß a ₧e m∙₧e vΘst k odhalenφ privßtnφho klφΦe u kryptografick²ch mechanism∙, jako je RSA, Diffie-Hellman∙v protokol nebo podpisovΘ schΘma DSS. Podrobn∞ji se tomuto druhu ·toku budeme v∞novat pozd∞ji v samotnΘm Φlßnku.
Patrn∞ ve stejnΘm roce byl uve°ejn∞n i p°φsp∞vek [ANKU96], jeho₧ auto°i sice mΘn∞ formßlnφm, zato vÜak d∙razn²m zp∙sobem upozor≥ujφ na mo₧nost vyu₧itφ kanßl∙ z obrßzku 2 k napadenφ Φipov²ch karet. Zpochyb≥ujφ zde zejmΘna do tΘ doby v₧itΘ dogma, ₧e Φipovß karta je autonomnφ za°φzenφ, jeho₧ fyzickΘ ochrany poskytujφ vnit°nφm kryptografick²m mechanism∙m dostateΦnou ochranu p°ed vn∞jÜφmi ·toΦnφky. Zatφmco ·tok typu TA chßpal kanßly z obrßzku 2 jako jednosm∞rnΘ (·toΦnφk pouze "Φetl" dobu provßd∞nφ v²poΦtu), ukazujφ auto°i tohoto p°φsp∞vku i mo₧nost neautorizovanΘho ovliv≥ovßnφ operacφ probφhajφcφch v napadenΘm za°φzenφ a nßsledky z toho plynoucφ.
Pro ilustraci si vezm∞me p°φklad, kter² mß podle [ANKU96] skuteΦn² zßklad v oblasti ·tok∙ na p°edplacenΘ TV karty. Uva₧ujme, ₧e v napadenΘm za°φzenφ existuje nßsledujφcφ sekvence p°φkaz∙, kterß se pou₧φvß nap°φklad k sΘriovΘmu zasφlßnφ v²stupnφch informacφ:
1. b = adresa_v²stupnφho_pole
2. a = dΘlka_v²stupnφho_pole
3. if (a == 0) goto 8
4. VyÜli(*b)
5. b = b+1
6. a = a-1
7. goto 3
8. ....//pokraΦovßnφ k≤du po skonΦenφ vysφlßnφ
Cφlem ·toΦnφka je zde ovlivnit chovßnφ procesoru v napadenΘm za°φzenφ tak, aby bu∩to ignoroval podmφn∞n² skok na °ßdku 3, nebo aby se neprovßd∞la dekrementace ΦφtaΦe v bod∞ 6. Toho lze dosßhnout nap°φklad krßtk²m nap∞¥ov²m impulzem nebo krßtkou poruchou na hodinovΘm signßlu û konkrΘtnφ technika siln∞ zßvisφ na konstrukci za°φzenφ (nejΦast∞ji se jednß o Φipovou kartu). Pokud se toto povede, potom je mo₧nΘ pou₧φt p∙vodn∞ neÜkodnou sekvenci p°φkaz∙ urΦen²ch k v²stupu n∞jakΘho b∞₧nΘho hlßÜenφ k vyΦtenφ obsahu pam∞ti za hranicφ odesφlanΘ sekvence. P°i troÜe Üt∞stφ se tak m∙₧e ·toΦnφkovi poda°it zφskat tajnΘ klφΦe nebo jinΘ senzitivnφ hodnoty.
Snaha o formßlnφ popis
Stejn∞ jako v p°φpad∞ ostatnφch kryptoanalytick²ch technik, byly i ·toky zalo₧enΘ na vyu₧itφ fyzikßlnφch vlastnostφ napadenΘho za°φzenφ z poΦßtku chßpßny jako zvlßÜtnφ druh invence a snahßm o jejich formßlnφ popis a studium nebylo (s v²jimkou [KOCH96]) v∞novßno p°φliÜ mnoho pozornosti. Postupem Φasu se vÜak ukßzalo, ₧e tyto ·toky tvo°φ natolik zajφmavou kategorii, ₧e stojφ za to v∞novat se jim v obecnΘ rovin∞. Bohu₧el to neznamenß, ₧e bychom dnes m∞li ve°ejn∞ k dispozici n∞jak² zvlßÜ¥ dobr² teoretick² materißl z tΘto oblasti. V∞tÜina autor∙ si toti₧ p°φliÜ dob°e uv∞domuje cenu takov²chto informacφ, tak₧e po prostudovßnφ honosn∞ vyhlφ₧ejφcφho pramenu Φtenß° leckdy zjistφ, ₧e se vlastn∞ nic novΘho nedozv∞d∞l.
NicmΘn∞ mßme ji₧ k dispozici alespo≥ zßkladnφ taxonomii mo₧n²ch ·tok∙ tohoto typu, kterß je zhruba nßsledujφcφ:
1. Timing Attack (TA);
2. Simple Power Analysis (SPA)/Differential Power Analysis (DPA);
Do prvnφ kategorie pat°φ u₧ zmφn∞n² Timing Attack, kter² jsme si ji₧ v hrub²ch rysech p°edstavili. Druhou skupinu tvo°φ ·toky orientovanΘ na sledovßnφ spot°eby energie. Odtud je pak obdobn∞ jako v p°φpad∞ TA mo₧nΘ ·toΦit na neznßm² Üifrovacφ klφΦ (symetrick² nebo asymetrick²), kter² je obsa₧en v napadenΘm za°φzenφ. KonkrΘtn∞ se popisem ·tok∙ SPA a DPA budeme zab²vat v samostatnΘm Φlßnku.
T°etφ kategorie se zaobφrß studiem vlivu chyb b∞hem v²poΦtu, jeho₧ n∞kterΘ vstupy p°edstavujφ tajnΘ hodnoty, na bezpeΦnost t∞chto informacφ. M∙₧e se p°itom jednat jak o chyby um∞le vyvolanΘ (rozÜφ°enφ v²Üe popsanΘho ·toku na vysφlacφ proceduru), tak o chyby nastßvajφcφ nßhodn∞ vlivem "b∞₧n²ch" poruch v za°φzenφ. Stejn∞ jako v p°φpad∞ p°edchozφch t°φd, i tato si zaslou₧φ rozebrßnφ ve zvlßÜtnφm dφlu tohoto serißlu.
Poslednφ t°φda je jako v₧dy rezervovßna pro nov∞ vznikajφcφ druhy ·tok∙. Lze nap°φklad oΦekßvat (tajnΘ slu₧by u₧ op∞t jist∞ po °adu let v∞dφ svΘ) obdobu DPA orientovanou na sledovßnφ elektromagnetickΘho vyza°ovßnφ, a to v libovolnΘ Φßsti spektra (mo₧nß ₧e n∞kdy bude zajφmavΘ sledovat i tepelnΘ zß°enφ vybran²ch obvodov²ch Φßstφ). Ostatn∞ i nßÜ ilustraΦnφ experiment bude v tomto dφlu o tom, jak lze vyu₧φt vyza°ovßnφ b∞₧nΘho monitoru k vynßÜenφ tajn²ch informacφ.
JeÜt∞ jedna klasifikace
Krom∞ v²Üe uvedenΘho d∞lenφ ·tok∙ podle toho, jakΘ informace a jak se vyhodnocujφ, bude pro dalÜφ v²klad u₧iteΦnΘ zavΘst jeÜt∞ jedno klasifikaΦnφ schΘma, kterΘ nßm bude °φkat, jak velkou kontrolu musφ ·toΦnφk nad napaden²m za°φzenφm mφt. Zde zavedeme dv∞ nezßvislß d∞lenφ, a to:
1. podle kontroly nad probφhajφcφm v²poΦtem:
a. pasivnφ û ·toΦnφk pouze sleduje jeho pr∙b∞h,
b. aktivnφ û ·toΦnφk mß mo₧nost do v²poΦtu zasßhnout;
2. podle zp∙sobu p°φstupu k za°φzenφ na:
a. neinvazivnφ û nenφ naruÜena ₧ßdnß z fyzick²ch ochran,
b. invazivnφ û n∞kterß z fyzick²ch ochran je naruÜena.
UvedenΘ Φlen∞nφ nßm pozd∞ji pom∙₧e lΘpe se orientovat v tom, za jak²ch okolnostφ m∙₧e konkrΘtnφ typ ·toku nastat. Nap°φklad odleptßnφ ochrannΘ vrstvy u ΦipovΘ karty a p°ipojenφ se k vnit°nφm sb∞rnicφm procesoru za ·Φelem sledovßnφ prochßzejφcφch dat je p°φkladem pasivnφho invazivnφho ·toku.
Zajφmav² experiment
Jako ilustraΦnφ p°φklad existence na prvnφ pohled skryt²ch komunikaΦnφch kanßl∙ si nynφ popφÜeme experiment, kter² byl proveden na univerzit∞ v Cambridge a je popsßn ve zdroji [ANKU98]. Ukß₧eme si, jak²m zp∙sobem lze vyzß°it zvolenou informaci ze sledovanΘho za°φzenφ. Ta m∙₧e v praxi p°edstavovat nap°φklad Üifrovacφ klφΦe, kterΘ chce vynΘst program typu trojskΘho kon∞. Pro p°enos informace jde zde vyu₧it kanßl vytvo°en² vysφlßnφm amplitudov∞ modulovanΘho (AM) signßlu, p°iΦem₧ jako vysφlaΦ je pou₧it b∞₧n² monitor b∞₧nΘho PC.
Nejprve si v krßtkosti p°ipome≥me, jak vypadß Φasov² pr∙b∞h amplitudov∞ modulovanΘho signßlu. OznaΦφme-li amplitudu tohoto signßlu v Φase t jako s(t), potom m∙₧eme psßt:
V uvedenΘm zßpisu jsme oznaΦili amplitudu signßlu jako A, hloubku modulace jako m, nosnou frekvenci jako fc (carrier) a frekvenci modulovanΘho signßlu jako ft. Vidφme, ₧e na rozdφl od p°enosu hlasovΘho signßlu zde p°edpoklßdßme p°enos velmi jednoduchΘho signßlu kosinovΘho pr∙b∞hu. To vÜak pro nßs nep°edstavuje vß₧n∞jÜφ omezenφ, nebo¥ se zam∞°ujeme v²hradn∞ na p°enos digitßlnφho signßlu. Pro tento ·Φel m∙₧eme pou₧φt nap°φklad frekvenΦnφ modulaci (p°esn∞ji FSK û Frequency Shift Keying, nebo¥ frekvenΦnφ posuv je zde diskrΘtnφ) p°enßÜenΘho kosinovΘho pr∙b∞hu tak, ₧e frekvence ft bude odpovφdat hodnot∞ 1 a frekvence ft' (ft' ( ft) bude znamenat hodnotu 0. Mo₧n² zp∙sob realizace uvedenΘho frekvenΦnφho posuvu si uvedeme dßle.
Z v²razu pro pr∙b∞h s(t) je velmi dob°e patrnΘ znßmΘ rozd∞lenφ frekvenΦnφho spektra AM signßlu na nosnou frekvenci ft a frekvence takzvanΘho dolnφho a hornφho postrannφho pßsma fc-ft a fc+ft. Graficky toto pozorovßnφ ilustruje obrßzek 3. AΦkoliv tato vlastnost AM signßlu nebyla v p∙vodnφm experimentu vyu₧ita, je vhodnΘ zde na ni upozornit, a to z nßsledujφcφho d∙vodu: z pom∞r∙ amplitud signßl∙ na uvedenΘm obrßzku vidφme, ₧e nejv∞tÜφ energii spot°ebovßvß vyzß°enφ periodickΘho signßlu s frekvencφ fc, kter² vÜak nenese ₧ßdnou u₧iteΦnou informaci (je na ft nezßvisl²). Proto je p°i praktickΘm p°enosu AM signßlu celkem b∞₧nΘ, ₧e se p°ed vysφlßnφm nosnß frekvence spolu s jednφm postrannφm pßsmem potlaΦuje a mφsto nich se vysφlß pouze hornφ, respektive dolnφ postrannφ pßsmo. V²sledkem je efektivn∞jÜφ vyu₧itφ v²konu vysφlaΦe. Nev²hodou je zase nutnost obnovenφ p∙vodnφ nosnΘ frekvence na stran∞ p°ijφmaΦe, co₧ nemusφ b²t technicky jednoduchΘ (zvlßÜt∞ pokud p∙vodnφ nosnß frekvence nenφ p°φliÜ stabilnφ). Nemo₧nost pou₧φt b∞₧n∞ dostupn² AM p°ijφmaΦ spolu s technickou nßroΦnostφ byl patrn∞ d∙vodem k tomu, ₧e se auto°i popisovanΘho experimentu tomuto druhu p°enosu vyhnuli. V p°φpad∞ zdokonalovßnφ jejich pokusu za ·Φelem skuteΦnΘho nasazenφ pro Üpionß₧ by vÜak nebylo marnΘ tento postup zvß₧it.
Nynφ se zab²vejme tφm, jak signßl s(t) vyzß°it pomocφ monitoru PC. Abychom si na tuto otßzku mohli dßt p°esn∞jÜφ odpov∞∩, musφme se nejprve seznßmit se zßkladnφmi parametry, kterΘ se vztahujφ k procesu zobrazovßnφ ·daj∙ na monitoru. Zßkladnφm ·dajem je bodovß frekvence fp, jejφ₧ p°evrßcenß hodnota urΦuje dobu posuvu paprsku z bodu (x,y) do bodu (x+1,y). Na zßklad∞ tΘto frekvence m∙₧eme definovat °ßdkovou frekvenci jako fh = fp/xt, kde xt je horizontßlnφ rozliÜenφ obrazovky (vΦetn∞ takzvan²ch skryt²ch bod∙). Analogicky m∙₧eme zavΘst jeÜt∞ snφmkovou frekvenci jako fv = fh/yt, kde yt p°edstavuje vertikßlnφ rozliÜenφ (vΦetn∞ skryt²ch bod∙).
Viditelnou oblast na stφnφtku popisuje horizontßlnφ rozliÜenφ xd a vertikßlnφ rozliÜenφ yd (ob∞ hodnoty jsou vyjßd°eny v bodech). Z technologick²ch d∙vod∙ je toto rozliÜenφ menÜφ ne₧ rozliÜenφ udanΘ hodnotami xt a yt. ╚as, kter² by byl pot°eba pro zobrazenφ bod∙, o kterΘ se tato rozliÜenφ v p°φsluÜn²ch sm∞rech liÜφ, se toti₧ vyu₧φvß pro nßvrat elektronovΘho paprsku obrazovky na zaΦßtek dalÜφho °ßdku, p°φpadn∞ na prvnφ °ßdek obrazovky (°ßdkovΘ a snφmkovΘ zp∞tnΘ b∞hy). Sedmice hodnot (fp, fv, fh, xt, yt, xd a yd) je pro souΦasnΘ monitory prom∞nlivß a zßvisφ na tom, jak² zobrazovacφ mod je prßv∞ nastaven. V n∞kter²ch operaΦnφch systΘmech p°itom tyto hodnoty zjistφme snßze, v n∞kter²ch h∙°e. Pom∞rn∞ dob°e je lze zφskat nap°φklad v Linuxu, kde m∙₧eme v souboru /usr/lib/X11/XF86Config (nebo jeho alternativ∞ pro jin² X-server) najφt °ßdek typu:
Z tohoto °ßdku je mo₧nΘ poznat, ₧e uveden² re₧im pou₧φvß fp = 95 MHz, xd = 1152, yd = 900, xt = 1472, yt = 939. Frekvence fh a fv je mo₧nΘ stanovit v²poΦtem dle v²Üe uveden²ch vzorc∙ jako fh = fp/xt = 64,5 kHz a fv = fh/yt = 68,7 Hz.
Na zßklad∞ znalosti uveden²ch hodnot m∙₧eme urΦit st∞₧ejnφ vztah, kter² udßvß Φas, ve kterΘm se bude vyskytovat elektronov² paprsek v mφst∞ bodu (x,y), kde 0 ( x ( xd, 0 ( y ( yd a v Φase t = 0 p°edpoklßdßme, ₧e je paprsek v pozici (0,0). Pro Φas dosa₧enφ obecnΘho bodu (x,y), kter² oznaΦφme jako t(x,y), m∙₧eme psßt:
t(x,y) = x/fp + y/fh + n/fv, n ( Z.
╚len n/fv souvisφ s periodick²m obnovovßnφm obrazu, v²znam ostatnφch Φlen∙ v uvedenΘm v²razu je z°ejm². OznaΦme si dßle a(x,y) hodnotu atributu, kterß je nastavena pro bod o sou°adnicφch (x,y). Chceme-li, aby elektronov² paprsek (spolu s obvodovou Φßstφ monitoru) p°i vytvß°enφ obrazu na stφnφtku zßrove≥ vyza°oval nßmi zvolen² signßl, musφme dosßhnout toho, aby hodnota atributu a(x,y) odpovφdala amplitud∞ vyza°ovanΘho signßlu v Φase t(x,y), Φili a(x,y) ~ s(t(x,y)). Aby nedochßzelo k ne₧ßdoucφm fßzov²m posuv∙m emitovanΘho signßlu p°i p°echodu na novΘ snφmky, je dßle vhodnΘ, aby hodnota 1/fv byla celistv²m nßsobkem periody signßlu s(t). V naÜem p°φpad∞ to znamenß sna₧it se o to, aby fc a ft byly ob∞ celoΦφseln²mi nßsobky fv.
V popisovanΘm experimentu bylo konkrΘtn∞ pou₧ito barevnΘ rozliÜenφ odpovφdajφcφ 8 bit∙m Üedi a pro urΦenφ hodnoty atributu byl pou₧it vztah a(x,y) = (255/2 + s(t(x,y)) + R(, kde R je nßhodnß veliΦina s rovnom∞rn²m rozd∞lenφm na intervalu <0,1), kterß mß za ·kol rozprost°φt Üum vznikl² kvantizacφ pr∙b∞hu s(t). Pro vysφlan² signßl byly zvoleny parametry A = 255/4, m = 1, fc = 2,0 MHz a dv∞ alternativnφ frekvence ft = 300 Hz a ft' = 1200 Hz.
Takto vysφlan² signßl bylo mo₧nΘ p°ijφmat na jednoduchΘm AM p°ijφmaΦi, kter² dle slov autor∙ po nalad∞nφ na nosnou frekvenci 2,0 MHz z°eteln∞ reprodukoval t≤n o frekvenci 300 Hz, respektive 1200 Hz v celΘm prostoru laborato°e a p°ilehl²ch mφstnostech (nßkres bohu₧el auto°i neuvßd∞jφ). ╚ili zvolenou informaci se ze sledovanΘho PC skuteΦn∞ poda°ilo vyzß°it a p°ijmout. Je d∙le₧itΘ poznamenat, ₧e se jednalo opravdu o velmi jednoduch² p°ijφmaΦ, kter² byl vybaven pouze zßkladnφ nelad∞nou feritovou antΘnou. Dßle je zajφmav² fakt, ₧e v mφstech, kde se ji₧ signßl zaΦφnal ztrßcet, pomohlo p°iblφ₧it p°ijφmaΦ k silovΘmu vedenφ, na kterΘ byl testovan² poΦφtaΦ s monitorem napojen. To nßzorn∞ ukazuje na to, kudy vÜude mohou informace z b∞₧φcφho poΦφtaΦe "prosakovat".
Pro reprodukci tohoto experimentu je t°eba uvΘst, ₧e b∞₧n∞ dostupnß rßdia podporujφ ji₧ pro AM jen rozsahy 531 a₧ 1602 kHz (MW) a 153 a₧ 279 kHz (LW), co₧ znamenß bu∩ upravit parametry experimentu, nebo se orientovat na mΘn∞ b∞₧nΘ typy p°ijφmaΦ∙. VyÜÜφ frekvence se p°itom zdajφ b²t (s ohledem na konstrukΦnφ uspo°ßdßnφ) lepÜφ. Pokud nejsme limitovßni pou₧it²m typem p°ijφmaΦe, potom se jako nejlepÜφ pßsmo pro p°enos informace tφmto zp∙sobem jevφ rozsah 3 MHz a₧ 30 MHz.
KonkrΘtnφ vyu₧itφ tΘto techniky je mo₧nΘ spat°ovat zejmΘna v neautorizovanΘm vynßÜenφ citliv²ch informacφ z napadenΘho poΦφtaΦe, kterΘ m∙₧e provßd∞t nap°φklad n∞jak² ·toΦn² program typu trojskΘho kon∞. P°i pou₧itφ FSK pro p°enos digitßlnφch ·rovnφ a vhodnΘm bezpeΦnostnφm k≤dovßnφ je mo₧nΘ takto dosßhnout p°enosovΘ rychlosti kolem 50 b/s. Pro frekvenΦnφ posuv p°enßÜenΘho signßlu je zde mo₧nΘ s v²hodou pou₧φt stejn² trik, jak² se pou₧φvß pro obrazovou animaci û do dvou odd∞len²ch oblastφ videopam∞ti si program ·toΦnφka p°ipravφ obrazce pro ft a ft'. Nastavenφm jednΘ z t∞chto oblastφ jako aktivnφ potom m∙₧e snadno a hlavn∞ rychle volit, jakß frekvence (neboli logickß ·rove≥) se mß na nosnou frekvenci modulovat.
Na prvnφ pohled nenφ uvedenß p°enosovß rychlost p°φliÜ optimistick²m znamenφm pro ·toΦnφky, avÜak je t°eba si uv∞domit, ₧e tohoto ·toΦnφka budou pravd∞podobn∞ ze vÜeho nejvφce zajφmat klφΦe, kterΘ jsou pou₧ity pro kryptografickΘ zabezpeΦenφ dat, se kter²mi dan² systΘm jako celek pracuje (vlastnφ data potom zφskß odÜifrovßnφm Üifrov²ch text∙, kterΘ jsou ji₧ "voln∞" k dispozici). V takovΘm p°φpad∞ je tato p°enosovß rychlost zcela postaΦujφcφ.
K prßv∞ popsanΘmu experimentu jeÜt∞ poznamenejme, ₧e pro jednoduchost jsme se zde stejn∞ jako auto°i [ANKU98] omezili pouze na vyu₧itφ monochromatickΘho signßlu. Naprostß v∞tÜina souΦasn²ch monitor∙ je vÜak barevnß a vyu₧φvß RGB obrazovky, kterΘ jsou vybaveny t°emi paralelnφmi katodami, je₧ v dan² okam₧ik nezßvisle vyza°ujφ p°φsluÜnou slo₧ku barevnΘho signßlu (katoda pro Φervenou, zelenou a modrou barvu). Ka₧dΘmu z t∞chto paprsk∙ navφc nßle₧φ separßtnφ °φdicφ obvod. To vÜe znamenß, ₧e pou₧itφm barevnΘho signßlu bychom teoreticky mohli vyza°ovat narßz t°i r∙znΘ pr∙b∞hy sR(t), sG(t) a sB(t) a vytvo°it tak t°i nezßvislΘ paralelnφ kanßly pro vynßÜenφ informacφ z napadenΘho PC.
Zßv∞r
V prvnφm z pojednßnφ o souvislostech mezi architekturou kryptografick²ch za°φzenφ a jejich bezpeΦnostφ jsme si ukßzali zßkladnφ hrozby, kterΘ se v tΘto oblasti vyskytujφ. Ukßzali jsme si, ₧e souΦasnou kryptologii je t°eba chßpat jako interdisciplinßrnφ obor, ve kterΘm se ve vhodnΘm pom∞ru (dle momentßlnφ pot°eby) mφsφ jak znalosti povahy ryze matematickΘ, tak i v∞domosti o fyzikßlnφ povaze konstruovan²ch za°φzenφ.
Krom∞ elementßrnφ klasifikace studovan²ch ·tok∙ jsme si popsali experiment, kter² prakticky ukazuje existenci a nebezpeΦnost parazitnφho vyza°ovßnφ b∞₧n²ch kancelß°sk²ch poΦφtaΦ∙. V nßsledujφcφch pokraΦovßnφch se budeme postupn∞ zab²vat jednotliv²mi druhy ·tok∙ a mo₧n²ch obran proti nim.
TomᚠRosa
tomas.rosa@decros.cz
literatura
[ANKU96] Anderson, R., Kuhn, M.: "Tamper Resistance û a Cautionary Note", 2nd USENIX Workshop On Electronic Commerce, 1996.
[ANKU98] Anderson, R., Kuhn, M.: "Soft Tempest: Hidden Data Transmission Using Electromagnetic Emanations", Information Hiding '98.
[KOCH96] Kocher, P.: "Timing Attacks on Implementations of Diffie-Hellman, RSA, DSS, and Other Systems", CRYPTO '96.