左图是智能卡读卡器正在处理插入智能卡的加密密钥,右图是一个监控摄像头从近20米外的地方记录下读取器的电源LED
研究人员最近发现了一种新的攻击方法,通过使用iphone或商业监控系统中的摄像头,记录下读卡器或智能手机打开时显示的电源LED,可以恢复存储在智能卡和智能手机中的秘密加密密钥。
这些攻击提供了一种利用两个先前披露的侧信道的新方法,侧信道攻击(side channel attack 简称SCA),又称侧信道攻击,核心思想是通过加密软件或硬件运行时产生的各种泄漏信息获取密文信息。在狭义上讲,侧信道攻击特指针对密码算法的非侵入式攻击,通过加密电子设备在运行过程中的侧信道信息泄露破解密码算法,狭义的侧信道攻击主要包括针对密码算法的计时攻击、能量分析攻击、电磁分析攻击等,这类新型攻击的有效性远高于密码分析的数学方法,因此给密码设备带来了严重的威胁。在本例中,通过仔细监控功耗、声音、电磁发射或操作发生所需的时间等特征,攻击者可以收集足够的信息来恢复支撑加密算法安全性和机密性的密钥。
侧信道开发过程
最近发现的侧信道分别是Minerva和Hertzbleed,分别于2019年和2022年被发现。Minerva能够通过在一个称为标量乘法的加密过程中测量时序模式来恢复美国政府批准的智能卡的256位密钥。Hertzbleed允许攻击者通过测量英特尔或AMD CPU执行某些操作的功耗来恢复后量子SIKE加密算法使用的私钥。考虑到一个使用时间测量,另一个使用电源测量,Minerva被称为定时侧信道,而Hertzbleed可以被视为电源侧信道。
研究人员最近公布了一项新研究,展示了一种利用这些侧信道的新方法。第一种攻击使用连接互联网的监控摄像头在加密操作期间拍摄智能卡读卡器上电源LED或连接的外围设备的高速视频。这项技术使研究人员能够从Minerva使用的同一张政府批准的智能卡上提取256位ECDSA密钥。另一种方法使研究人员能够通过在连接到手机的USB扬声器的电源LED上训练iPhone 13的摄像头来恢复三星Galaxy S8手机的专用SIKE密钥,类似于Hertzbleed从英特尔和AMD CPU上获取SIKE密钥的方式。
电源led用于指示设备何时打开,它们通常会发出蓝色或紫色的光,亮度和颜色会根据所连接设备的功耗而变化。
这两种攻击都有局限性,使得它们在许多现实场景中不可行。尽管如此,已发表的研究还是具有开创性的,因为它提供了一种全新的方式来促进侧信道攻击。不仅如此,新方法还消除了阻碍现有方法利用侧信道的最大障碍,即需要示波器、电探针或其他物体等仪器接触或靠近被攻击的设备。
在Minerva的示例中,为了让研究人员收集足够精确的测量数据,智能卡读卡器的主机必须被攻破。相比之下,Hertzbleed并不依赖于受攻击的设备,而是花了18天的时间与易受攻击的设备进行持续交互,以恢复私钥。要攻击许多其他侧信道,例如第二次世界大战加密电传终端中的侧信道,攻击者必须在目标设备上或附近安装专用且通常昂贵的仪器。
近期发布的基于视频的攻击减少或完全消除了此类要求,要想窃取存储在智能卡上的私钥,只需要在距离目标读卡器20米远的地方安装一个联网的监控摄像头。三星Galaxy手机的侧信道攻击可以通过已经在同一个房间里的iPhone 13摄像头来执行。
本文的亮点就是你不需要连接探测器、连接示波器或使用软件定义的无线电。该方法没有攻击性,你可以使用智能手机等普通或流行的设备来实施攻击。对于连接互联网的摄像机来说,你甚至不需要接近物理场景就可以实施攻击,这是软件定义的无线电或连接探针或类似物无法做到的。
与传统的侧信道攻击相比,该技术还有另一个好处:精确性和准确性。Minerva和Hertzbleed等攻击通过网络泄露信息,这会引入延迟并增加噪声,而这些噪声必须通过从大量操作中收集数据来补偿。这一限制导致Minerva攻击需要目标设备被破坏,而Hertzbleed攻击需要18天时间。
使用卷帘快门(rolling shutter)
令许多人惊讶的是,一台记录电源LED的标准摄像机提供了一种数据收集方式,对于测量通过侧信道泄漏的信息来说,这种方式要高效得多。当CPU执行不同的加密操作时,目标设备消耗不同的电量。这些变化会导致设备或连接到设备的外围设备的电源LED的亮度变化,有时还会导致颜色变化。
为了足够详细地捕捉LED的变化,研究人员启动了新型相机中可用的卷帘快门。卷帘快门是一种图像捕捉形式,在某种程度上类似于延时摄影。它以垂直、水平或旋转的方式逐行快速记录帧。传统上,相机只能以其帧速率拍摄照片或视频,帧速率最高可达每秒60至120帧。
该说明了卷帘快门捕捉旋转光盘背后的原理
激活卷帘快门可以提高采样率,每秒收集大约60,000个测量值。研究人员在设备执行加密操作时,将当前打开或连接在设备上的电源LED完全填充到一个框架中,利用卷帘快门,使攻击者有可能收集到足够的细节来推断存储在智能卡、手机或其他设备上的密钥。
这是可能的,因为设备的电源LED的强度/亮度与其功耗相关,因为在许多设备中,电源LED直接连接到电路的电源线,缺乏有效的手段(例如,滤波器,电压稳定器)来解耦相关性。
研究人员实证分析了视频摄像机的灵敏度,并表明它们可以用于进行密码分析,原因有两个,一是设备的电源LED的视频片段的单个RGB通道的有限8位分辨率(256值的离散空间)足以检测由加密计算引起的设备功耗差异,二是摄像机的卷帘快门可以利用视频片段中电源LED的强度/亮度的采样率提高到执行密码分析所需的水平,即将视频片段中电源LED的强度/亮度的测量次数(采样率)增加三个数量级,从FPS速率(每秒提供60-120次测量)到卷帘快门速率(在iPhone 13 Pro Max中每秒提供6万次测量),通过缩放目标设备电源LED上的摄像机,使LED的视图填充整个视频片段。这样,可以使用摄像机作为专业专用传感器的远程攻击替代品,这些传感器通常用于密码分析(例如,示波器、软件定义的无线电)。
视频1和视频2 分别显示了智能卡读卡器和三星Galaxy手机在执行加密操作时的视频捕获过程。用肉眼看,这段视频看起来没什么特别的。
但是,通过分析绿色通道中不同RGB值的视频帧,攻击者可以识别加密操作的起止进程。
一些限制条件
研究中假设的威胁模型是,目标设备正在创建数字签名或在设备上执行类似的加密操作。该设备具有标准开/关类型1或指示电源类型2电源LED,其保持恒定颜色或响应触发的加密操作时改变颜色。如果设备没有1型或2型电源LED,则必须连接到有此功能的外围设备。这些电源LED的亮度或颜色必须与设备的功耗相关。
攻击者是一个恶意实体,可以在加密操作发生时持续录制设备或外围设备(如USB扬声器)的电源LED。在智能卡读卡器的示例中,攻击者首先通过攻击距离读卡器电源LED近20米远的监控摄像头来获取视频。摄像头被劫持的前提是,攻击者必须能够控制摄像头的缩放和旋转。考虑到许多联网摄像机被研究人员、现实世界的僵尸网络运营商和其他攻击者主动攻击的示例,目前假设条件并不是一个特别高的要求。
当摄像头在近20米远的地方时,房间的灯必须关闭,但如果监控摄像头在大约2米远的位置时,则可以打开灯。攻击者也可以用iPhone记录智能卡读卡器的电源LED。视频必须持续运行65分钟,在此期间,阅读器必须不断地执行操作。
对于三星Galaxy,攻击者必须能够在相当近的距离内记录USB连接扬声器的电源LED,同时手机执行SIKE签名操作。
攻击假设存在一个现有的侧信道,该信道在执行加密操作时泄露设备的功耗、时间或其他物理表现。插入读卡器的智能卡使用了一个代码库,该代码库尚未针对Minerva攻击进行修补。三星Galaxy使用的一个库仍然容易受到Hertzbleed.的攻击,很可能在未来发现的一些侧通道也会允许此类攻击。
威胁模型极大地限制了当前攻击的工作场景,因此攻击不太可能针对军事基地或其他高安全设置中使用的读卡器。
这是因为读卡器本身很可能是修复过的,即使没有被修复,在这些环境中发给员工的智能卡也会每隔几年轮换一次,以确保它们包含最新的安全更新。即使读卡器和智能卡都容易受到攻击,读卡器也必须在整整65分钟内持续处理卡,这在安全检查中的标准刷卡过程中是不可能实现的。
但并非所有设置都受到如此严格的限制。这六种智能卡读卡器都可以在亚马逊上买到,并且与美国军方使用的通用门禁卡(称为cac)兼容。其中四个阅读器的广告上写着“国防部”、“军队”或两者兼而有之。军方或政府人员在远程登录非机密网络时使用这种读卡器均属正常。
一般来说,只要你的操作系统支持特定的制造商和型号,访问国防部资源需满足两个条件即可,1.为操作系统安装了当前的根和国防部CA,以信任你的智能卡证书和你连接的网站/服务的证书,2.有问题的资源可以从公共互联网直接访问而不是先连接内部VPN。公司、州或地方政府以及其他组织则没有那么多限制。
三星Galaxy攻击的另一个限制是,在发现一种使用复杂数学和一台传统PC来恢复保护加密交易的密钥攻击后,SIKE算法被进行了限制。
对于此假设攻击,三星进行了回复:
我们可以确认,研究人员在Galaxy S8上开发的假设攻击已于2022年向我们报告,经过审查,并被视为低风险,因为我们的设备上没有使用特定的算法。消费者隐私至关重要,我们将对所有设备保持最高标准的安全协议。
研究人员丹尼尔·格鲁斯(Daniel Gruss)说,尽管这种攻击目前还处于理论层面,但研究结果绝对是有趣和重要的,特别是在发现了Hertzbleed和Platypus的类似攻击之后。与Platypus、Hertzbleed等相关攻击越来越多,关键是电源侧信道攻击可以泄露的信息非常多。随着基于远程软件的攻击或本文提出的基于视频录制/空气间隙的攻击,攻击成功率提高了很多。另外,许多研究人员都观察到,随着新技术和漏洞的发现,攻击只会随着时间的推移而变得更易实现。从硬件发展角度来讲,现在某些限制的因素,比如摄像机,未来随着设备快速发展,几年后本文讲的理论上的攻击可能会增加攻击范围或缩短攻击所需的时间。
研究人员还对当今基于视频的密码分析的真正潜力表示担忧。在本文所说的研究中,他们专注于常用和流行的摄像机,以演示基于视频的密码分析,即一个RGB通道的8位空间、全高清分辨率和支持的最大快门速度。然而,新版本的智能手机已经支持10位分辨率的视频片段,例如,iPhone 14 Pro MAX和三星Galaxy S23 Ultra。此外,分辨率为12-14位的专业摄像机已经存在,2样的摄像机可能提供更高的灵敏度,这可能使攻击者能够通过电源LED的强度来检测设备功耗的非常细微的变化。
此外,许多互联网与现有研究中使用的摄像机(25倍)相比,具有更大光学变焦能力的联网安全摄像机(30倍至36倍)已经存在,并且可能已经广泛部署。这种安全摄像机可能允许攻击者从比本文所演示的更远的距离对目标设备进行基于视频的密码分析。最后,新的专业摄像机目前支持1/180,000的快门速度(例如,富士胶片X-H2.3),使用这种摄像机可能允许攻击者以更高的采样率获得测量结果,这可能会使其他设备面临基于视频的密码分析的风险。
研究人员给制造商推荐了几种对策,以增强设备抵御基于视频的密码分析。其中最主要的是通过集成一个起“低通滤波器”的电容器来避免使用指示电源LED。另一种选择是在电源线和电源LED之间集成一个运算放大器。
目前尚不清楚受影响设备的制造商是否或何时会添加此类防范措施。目前,建议那些不确定自己的设备是否存在漏洞的人应该考虑在电源LED上贴上不透明的胶带。