Vremenski napad vrsta je napada sporednog kanala u području kibernetičke sigurnosti koji iskorištava varijacije u vremenu potrebnom za izvršavanje kriptografskih algoritama. Analizirajući te vremenske razlike, napadači mogu zaključiti osjetljive informacije o kriptografskim ključevima koji se koriste. Ovaj oblik napada može ugroziti sigurnost sustava koji se oslanjaju na kriptografske algoritme za zaštitu podataka.
U vremenskom napadu, napadač mjeri vrijeme potrebno za izvođenje kriptografskih operacija, kao što je enkripcija ili dešifriranje, i koristi te informacije za izvođenje pojedinosti o kriptografskim ključevima. Temeljno načelo je da različite operacije mogu potrajati nešto drugačije, ovisno o vrijednostima bitova koji se obrađuju. Na primjer, pri obradi 0 bita, operacija može trajati kraće u usporedbi s obradom 1 bita zbog internog rada algoritma.
Vremenski napadi mogu biti posebno učinkoviti protiv implementacija koje nemaju odgovarajuće protumjere za ublažavanje ovih ranjivosti. Jedna uobičajena meta vremenskih napada je RSA algoritam, gdje modularna operacija stepenovanja može pokazati vremenske varijacije na temelju bitova tajnog ključa.
Postoje dvije glavne vrste vremenskih napada: pasivni i aktivni. U pasivnom vremenskom napadu, napadač promatra vremensko ponašanje sustava bez aktivnog utjecaja na njega. S druge strane, aktivni vremenski napad uključuje napadača koji aktivno manipulira sustavom kako bi uveo vremenske razlike koje se mogu iskoristiti.
Kako bi spriječili vremenske napade, programeri moraju primijeniti sigurno kodiranje i protumjere. Jedan pristup je osigurati da kriptografski algoritmi imaju implementaciju konstantnog vremena, gdje vrijeme izvršenja ne ovisi o ulaznim podacima. Ovo eliminira vremenske razlike koje bi napadači mogli iskoristiti. Osim toga, uvođenje nasumičnih odgoda ili tehnika zasljepljivanja može pomoći u prikrivanju vremenskih informacija dostupnih potencijalnim napadačima.
Vremenski napadi predstavljaju značajnu prijetnju sigurnosti kriptografskih sustava iskorištavanjem vremenskih varijacija u izvršavanju algoritama. Razumijevanje načela iza vremenskih napada i provedba odgovarajućih protumjera ključni su koraci u zaštiti osjetljivih informacija od zlonamjernih aktera.
Ostala nedavna pitanja i odgovori u vezi EITC/IS/ACSS Napredna sigurnost računalnih sustava:
- Koji su trenutačni primjeri nepouzdanih poslužitelja za pohranu?
- Koje su uloge potpisa i javnog ključa u komunikacijskoj sigurnosti?
- Je li sigurnost kolačića dobro usklađena sa SOP-om (politika istog porijekla)?
- Je li napad krivotvorenjem zahtjeva na više stranica (CSRF) moguć i s GET zahtjevom i s POST zahtjevom?
- Je li simboličko izvršenje prikladno za pronalaženje dubokih grešaka?
- Može li simboličko izvršenje uključivati uvjete puta?
- Zašto se mobilne aplikacije pokreću u sigurnoj enklavi na modernim mobilnim uređajima?
- Postoji li pristup pronalaženju grešaka u kojem se softver može dokazati sigurnim?
- Koristi li tehnologija sigurnog pokretanja u mobilnim uređajima infrastrukturu javnih ključeva?
- Postoji li mnogo ključeva za šifriranje po datotečnom sustavu u modernoj sigurnoj arhitekturi mobilnih uređaja?
Pogledajte više pitanja i odgovora u EITC/IS/ACSS Advanced Computer Systems Security