Timing Attack ad RSA

Conclusioni
Precedente Home Successiva

 

Home
RSA
Timing Attack
Dettagli dell'attacco
RSAREF 2.0
Analisi
Contromisure
Conclusioni
Riferimenti
Appendice A
Appendice B
Appendice C

    La nostra analisi del timing attack, applicata all’esponenziazione modulare in RSAREF, è complicata dal fatto che il metodo d’esponenziazione processa gli esponenti usando una finestra di 2 bit. La nostra discussione sarebbe maggiormente semplificata se avesse considerato un metodo con una finestra da 1 bit. Nel documento [3 ], Kocher semplifica la sua analisi assumendo che si conosce ogni secondo bit dell’esponente.

    Kocher presenta i risultati tratti da diversi esperimenti che sostengono la sua descrizione teorica del timing attack. Sfortunatamente, in quella pubblicazione, Kocher rileva pochi dettagli pratici di come ha eseguito i suoi esperimenti; questo rende il lavoro di riproduzione del suo esperimento come qualcosa di difficile per il lettore.

    Altri autori sono stati più imminenti con i dettagli dei loro esperimenti. Per esempio, esiste una discussione dettagliata nel documento [13 ] che descrive come precisare le informazioni sui timing che possono essere misurate su un PC.

    Si dovrebbe notare che il timing attack di Kocher, come presentato in [3 ], non applica  direttamente le operazioni in RSAREF 2.0 alla firma RSA. Come molte implementazioni di RSA, RSAREF 2.0 usa il Chinese Remainder Theorem (CRT) per calcolare le firme. Una conseguenza di questo metodo è che gli input ai due componenti di esponenziazione modulare sono effettivamente blindati, così il timing attack non può essere applicato. Se un avversario ha l’abilità di scegliere quali messaggi devono essere firmati allora il timing attack può essere applicato alle implementazioni CRT come visualizzato in [14 ].

    I timing attack sono più minacciosi per apparecchi crittografici dedicati (come ad esempio le smartcard) e ci sono stati tre differenti attacchi su OpenSSL basati su applicazioni di decifratura RSA. E’ stato dimostrato che è possibile recuperare le chiavi private RSA usate in questi sistemi.

    La tecnica del timing attack illustra che gli attaccanti non necessariamente giocano un ruolo fondamentale, ma essi sfruttano ed attaccano sempre i punti deboli del sistema.

 

Precedente Home Successiva