Angreb lytter sig til nøgle

Artiklen blev oprindeligt publiceret den 19/12/2013

Forskere har opdaget, at det er muligt at knække en privat krypteringsnøgle ved at lytte til lydene fra computeren.

Forskerne Daniel Genkin, Adi Shamir og Eran Tromer har analyseret de højfrekvente lyde, som en computer udsender, når den arbejder. De opdagede, at bestemte operationer afføder bestemte lyde.

Det har de brugt til et såkaldt side channel-angreb: Et angreb på kryptering, hvor man ikke forsøger at knække koden direkte, men i stedet udnytter viden fra andre kilder.

Forskerne har demonstreret, at det er muligt at få fat i den private nøgle til mailkrypteringsprogrammet GnuPG.

Det kræver dog, at den private nøgle ikke er beskyttet med et password. Angriberen skal have mulighed for at bruge den mange gange. Og mail-programmet skal være indstillet til at dekryptere beskeder, når de ankommer.

GnuPG 1.4.x med RSA-kryptering er sårbar. Derimod er version 2 ikke sårbar. Desuden er der udsendt GnuPG 1.4.16, som ikke er sårbar.

Anbefaling
Angrebet er primært af teoretisk interesse, men for en sikkerheds skyld bør man opgradere til GnuPG 2.

Links