Підписуйтеся на наш телеграм канал!
Вчені змогли розкрити ключі шифрування смартфонів, знімаючи їх на камеру
Ізраїльські вчені з університету імені Давида Бен-Гуріона протестували новий спосіб атаки смартфонів сторонніми каналами. Вигаданий науковцями метод дає можливість віддалено отримати значення ключів шифрування ECDSA і SIKE, аналізуючи відеозапис світлодіодного індикатора смартфона.
Суть методу полягає в тому, що при обчисленнях на центральному процесорі в залежності від типу операцій змінюється витрата енергії. Це впливає на незначні коливання яскравості світлодіодних індикаторів електроживлення. Зміну яскравості можна зафіксувати на сучасні цифрові камери відеоспостереження або камери телефонів. Обробка даних з камери дозволяє побічно відновити інформацію, що використовується при обчисленнях.
Для обходу обмеження точності вибірки під час експериментів використовувався режим «rolling shutter», який показує в одному кадрі різні частини об'єкта, що швидко змінюється в різні моменти часу.
Застосування цього режиму дозволяє аналізувати до 60 000 вимірювань яскравості в секунду при зйомці на камеру iPhone 13 Pro Max з вихідною частотою 120 FPS. Під час аналізу розглядалася зміна окремих компонентів кольору (RGB) індикатора залежно від зміни енергоспоживання процесором.
Вченими проведено два успішні експерименти. Під час одного з них вдалося отримати 378-розрядний ключ SIKE, що використовується на телефоні Samsung Galaxy S8.
Відео було зняте на камеру телефону iPhone 13 Pro Max. Під час аналізу на смартфоні виконувалася атака на основі підібраного шифротексту (поступовий підбір на основі маніпуляцій із зашифрованим текстом та отримання його розшифровки), в ході якої було виконано 121 000 операцій із ключем SIKE.
Дослідники продемонстрували, що атаки побічними каналами можуть бути реалізовані за допомогою звичайних камер, що знімають світлодіодні індикатори живлення пристроїв. Такі атаки можуть загрожувати безпеці даних, що передаються або зберігаються на смарт-картах або смартфонах. Для запобігання цьому необхідно використовувати захищені реалізації алгоритмів шифрування, а також уникати підключення пристроїв до загальних джерел живлення.