[閒聊] 2017.W08 - Side-Channel Attack - 精華區 NetSecurity

作者CMJ0121 (請多指教!!)

看板NetSecurity

標題[閒聊] 2017.W08 - Side-Channel Attack

時間Tue Feb 21 23:06:14 2017

2017.W07 - Side-Channel Attack (旁道攻擊) > 非正規的攻擊，只要有效也可以使用 ## 前言 ## 有沒有人想要投稿了每個禮拜想主題其實比寫內容還累啊 QQ ## 內容 ## Side-Channel Attack[0] 泛指那些非使用暴力破解[1]或設計上演算法的缺陷的攻擊方式從密碼學的角度來看它可以是利用時間資訊 (Timing Attack [2])、電磁資訊或能量資訊 (Powner Analysis[3]) 等用 Timing Attack 為例子他計算多種密碼驗證的時間來猜測可能的密碼架設設計的演算法中： 1. 先比對輸入的密碼長度 2. 正確長度的密碼才做 Hash 3. 比對 Hash 的內容透過 Timing Attack 就可以快速找到正確的密碼長度降低破解的複雜度用在帳號登入的情境中，假若登入失敗時不會明確顯示帳號不存在或密碼錯誤但是設計時： 1. 帳號存在 (DB Query) 2. 比對密碼 (Hash -> 字串比對) 因為 DB Query 可以經過 Index 或者是 Cache 加速比對但密碼的 Hash 則無法避免就可以利用 Timing Attack 快速列舉出潛在的帳號資訊 [0]: https://en.wikipedia.org/wiki/Side-channel_attack [1]: https://en.wikipedia.org/wiki/Brute_force_attack [2]: https://en.wikipedia.org/wiki/Timing_attack [3]: https://en.wikipedia.org/wiki/Power_analysis -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.193.122.171 ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1487689577.A.F32.html