エスパー?
ほとんどSFみたいな話ですが、パソコンに触れるだけで暗号化キーを解読できちゃう手法が発見されました。厳密には「触れるだけ」というと語弊があるんですが、はた目には本当にただ数秒間触ってるだけで、情報を盗みとることができてしまうんですと。
MIT Technology Reviewに掲載されたテル・アヴィヴ大学のEran Tromer氏らによる論文「Get Your Hands Off My Laptop(私のラップトップに触るな)」には、そんな手法が詳細に描かれています。
説明されている手法はいくつかあって、たとえばパソコンにワイヤをあてるとか、LANケーブルを接続してその反対側から読み取るとかがあるんですが、興味深いのはやはり手で触れるというものです。そこからパソコンの電位の変化を拾って、別のコンピュータにある専用ソフトウェアに読み取らせるんです。
論文には以下のようにあります。
シンプルなワイヤを非侵襲的にラップトップの伝導部分(たとえば金属のヒートシンクフィンや、USB、イーサネット、VGA、DisplayPort、HDMIなどの各種ポートシールド)に触れさせ、適切な増幅器およびデジタイザに接続することで、電位を測定できる。そのように測定されるコンピュータ筐体の電位は、実行している計算処理に影響されている。我々の攻撃ではこの点を利用し、RSA暗号およびElGamal暗号のカギを数秒内に解析できる。ちなみに論文著者によると、手を使う方法は「汗ばんだ手では電気抵抗が少なくなるので、暑い時期に効果的」だそうです。って、今!
ネットワーク上で傍受するとかではなく、この種の物理的な方法で情報を盗み取る方法を「サイドチャネル攻撃」といって、他にもパソコンが出す電磁波や音などを測定して暗号カギを読み取る手法が報告されています。
で、どう対処すればいいのかというと、「コンピュータ処理上にランダムなデータを追加することで攻撃を避けられる」そうです。つまり暗号の上に暗号を追加するってことですが、たとえばフリーの暗号化パッケージのひとつGnuPGではすでにその対応をしています。
Image by Lasse Kristensen
source: MIT Technology Review
Kelsey Campbell-Dollaghan - Gizmodo US[原文]
(miho)
0 comments:
コメントを投稿