Et timingangreb er en type sidekanalangreb inden for cybersikkerhed, der udnytter variationerne i den tid, det tager at udføre kryptografiske algoritmer. Ved at analysere disse tidsforskelle kan angribere udlede følsomme oplysninger om de kryptografiske nøgler, der bruges. Denne form for angreb kan kompromittere sikkerheden af systemer, der er afhængige af kryptografiske algoritmer til databeskyttelse.
I et timingangreb måler angriberen den tid, det tager at udføre kryptografiske operationer, såsom kryptering eller dekryptering, og bruger denne information til at udlede detaljer om de kryptografiske nøgler. Det underliggende princip er, at forskellige operationer kan tage lidt forskellig tid afhængigt af værdierne af de bit, der behandles. For eksempel, når du behandler en 0 bit, kan en operation tage kortere tid sammenlignet med at behandle en 1 bit på grund af algoritmens interne funktion.
Timing angreb kan være særligt effektive mod implementeringer, der mangler passende modforanstaltninger til at afbøde disse sårbarheder. Et almindeligt mål for timingangreb er RSA-algoritmen, hvor den modulære eksponentieringsoperation kan udvise timingvariationer baseret på bits af den hemmelige nøgle.
Der er to hovedtyper af timingangreb: passive og aktive. I et passivt timingangreb observerer angriberen systemets timingadfærd uden aktivt at påvirke det. På den anden side involverer et aktivt timingangreb, at angriberen aktivt manipulerer systemet for at indføre timingforskelle, der kan udnyttes.
For at forhindre timingangreb skal udviklere implementere sikker kodningspraksis og modforanstaltninger. En tilgang er at sikre, at kryptografiske algoritmer har en konstant-tidsimplementering, hvor eksekveringstiden ikke afhænger af inputdataene. Dette eliminerer de tidsforskelle, som angribere kan udnytte. Derudover kan indførelsen af tilfældige forsinkelser eller blændende teknikker hjælpe med at sløre den tidsinformation, der er tilgængelig for potentielle angribere.
Timingangreb udgør en væsentlig trussel mod kryptografiske systemers sikkerhed ved at udnytte timingvariationer i algoritmeudførelse. Forståelse af principperne bag timing af angreb og implementering af passende modforanstaltninger er afgørende skridt til at beskytte følsomme oplysninger fra ondsindede aktører.
Andre seneste spørgsmål og svar vedr EITC/IS/ACSS Advanced Computer Systems Security:
- Hvad er nogle aktuelle eksempler på ikke-pålidelige lagerservere?
- Hvad er rollerne for en signatur og en offentlig nøgle i kommunikationssikkerhed?
- Er cookiessikkerheden godt tilpasset SOP (samme oprindelsespolitik)?
- Er cross-site request forgery (CSRF)-angrebet muligt både med GET-anmodningen og med POST-anmodningen?
- Er symbolsk udførelse velegnet til at finde dybe fejl?
- Kan symbolsk udførelse involvere stiforhold?
- Hvorfor køres mobilapplikationer i den sikre enklave i moderne mobile enheder?
- Er der en tilgang til at finde fejl, hvor software kan bevises sikker?
- Bruger den sikre boot-teknologi i mobile enheder offentlig nøgleinfrastruktur?
- Er der mange krypteringsnøgler pr. filsystem i en moderne sikker arkitektur på mobilenheder?
Se flere spørgsmål og svar i EITC/IS/ACSS Advanced Computer Systems Security