Časový útok je typ útoku bočným kanálom v oblasti kybernetickej bezpečnosti, ktorý využíva odchýlky času potrebného na vykonanie kryptografických algoritmov. Analýzou týchto rozdielov v načasovaní môžu útočníci odvodiť citlivé informácie o používaných kryptografických kľúčoch. Táto forma útoku môže ohroziť bezpečnosť systémov, ktoré sa pri ochrane údajov spoliehajú na kryptografické algoritmy.
Pri časovom útoku útočník meria čas potrebný na vykonanie kryptografických operácií, ako je šifrovanie alebo dešifrovanie, a používa tieto informácie na odvodenie podrobností o kryptografických kľúčoch. Základným princípom je, že rôzne operácie môžu trvať mierne odlišný čas v závislosti od hodnôt spracovávaných bitov. Napríklad pri spracovaní 0 bitu môže operácia trvať menej času v porovnaní so spracovaním 1 bitu v dôsledku interného fungovania algoritmu.
Načasovanie útokov môže byť obzvlášť účinné proti implementáciám, ktorým chýbajú vhodné protiopatrenia na zmiernenie týchto zraniteľností. Jedným z bežných cieľov útokov na načasovanie je algoritmus RSA, kde modulárna operácia umocňovania môže vykazovať zmeny načasovania založené na bitoch tajného kľúča.
Existujú dva hlavné typy časových útokov: pasívne a aktívne. Pri pasívnom časovom útoku útočník pozoruje správanie systému načasovanie bez toho, aby ho aktívne ovplyvňoval. Na druhej strane, útok s aktívnym načasovaním zahŕňa útočníka, ktorý aktívne manipuluje so systémom, aby zaviedol rozdiely v načasovaní, ktoré možno zneužiť.
Aby sa zabránilo útokom načasovania, vývojári musia implementovať postupy bezpečného kódovania a protiopatrenia. Jedným z prístupov je zabezpečiť, aby kryptografické algoritmy mali implementáciu v konštantnom čase, kde čas vykonania nezávisí od vstupných údajov. Tým sa eliminujú časové rozdiely, ktoré by útočníci mohli zneužiť. Okrem toho, zavedenie náhodných oneskorení alebo oslepujúcich techník môže pomôcť zahmlievať informácie o načasovaní dostupné potenciálnym útočníkom.
Časové útoky predstavujú významnú hrozbu pre bezpečnosť kryptografických systémov využívaním časových variácií pri vykonávaní algoritmu. Pochopenie princípov načasovania útokov a implementácia vhodných protiopatrení sú kľúčovými krokmi pri ochrane citlivých informácií pred škodlivými činiteľmi.
Ďalšie nedávne otázky a odpovede týkajúce sa Pokročilá bezpečnosť počítačových systémov EITC/IS/ACSS:
- Aké sú aktuálne príklady nedôveryhodných úložných serverov?
- Aké sú úlohy podpisu a verejného kľúča v bezpečnosti komunikácie?
- Je zabezpečenie súborov cookie dobre zosúladené so SOP (zásady rovnakého pôvodu)?
- Je útok sfalšovania žiadostí medzi stránkami (CSRF) možný s požiadavkou GET aj s požiadavkou POST?
- Je symbolické prevedenie vhodné na nájdenie hlbokých chýb?
- Môže symbolická poprava zahŕňať podmienky cesty?
- Prečo sú mobilné aplikácie prevádzkované v zabezpečenej enkláve v moderných mobilných zariadeniach?
- Existuje prístup k hľadaniu chýb, pri ktorých možno softvér preukázať ako bezpečný?
- Využíva technológia bezpečného zavádzania v mobilných zariadeniach infraštruktúru verejných kľúčov?
- Existuje veľa šifrovacích kľúčov na súborový systém v modernej zabezpečenej architektúre mobilných zariadení?
Pozrite si ďalšie otázky a odpovede v časti EITC/IS/ACSS Advanced Computer Systems Security