Экспертам удалось добыть AES-256-ключи, используя дешевое оборудование

Олег Иванов 26 Июня 2017 - 07:54

Средства криптографической защиты информации

...

Экспертам удалось добыть AES-256-ключи, используя дешевое оборудование

Атаки по сторонним каналам, которые контролируют электромагнитное излучение компьютера для получения паролей, далеко не новы. Раньше для них требовался прямой доступ к атакуемой системе и довольно много вычислительных затрат, но теперь в таких затратах больше нет необходимости.

Исследователи из Fox-IT нашли беспроводной способ извлечь секретные ключи шифрования AES-256 с расстояния до одного метра, с использованием деталей стоимостью 200 евро, купленных в стандартном магазине электроники. Для этого они использовали измерение электромагнитного излучения. На расстоянии в районе одного метра этот процесс занял пять минут, однако если злоумышленник расположится на расстоянии 30 сантиметров от атакуемого устройства, требуемое время и вовсе сократиться до 50 секунд.

Исследовательская группа использовала простую рамочную антенну, прикрепляя ее к внешнему усилителю и полосовым фильтрам, купленным онлайн, а затем подключала его к программному USB-накопителю, который они приобрели за 20 евро. Вся стоимость системы составляла менее 200 евро, и устройство можно было спрятать в куртке или сумке для ноутбука.

Эксперты использовали этот комплект для записи радиосигналов, генерируемых потреблением энергии целевой системы SmartFusion2, на которой установлен чип ARM Cortex-M3. Данные измерения показывали пики потребления энергии в процессе шифрования.

Запустив еще один процесс шифрования, исследователи отметили то, как потребление энергии связано с отдельными байтами информации.

«Использование такого подхода требует потратить несколько секунд для того, чтобы угадать правильное значение для каждого байта по очереди (256 опций на байт, 32 байта - всего 8 192 попытки). В случае атаки брутфорс на AES-256, мы не получим результаты до конца вселенной» - пишут эксперты.

Чем дальше исследователи находились от цели, тем слабее были электромагнитные сигналы, но им все-таки удалось извлечь данные с расстояния до одного метра. Большие затраты на оборудование увеличат дальность и скорость атаки.

«На практике эта настройка хорошо подходит для атаки на устройства сетевого шифрования. В целом, это еще раз доказывает, насколько важно уделять внимание безопасности при разработке систем с высокой степенью надежности (high assurance systems)» - говорят эксперты.

Следующая главная новость »

Какие продукты и технологии лучшие в ИБ в 2025 году? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »

Яков Шпунт 23 Декабря 2025 - 20:51

Мошенничество Соответствие законодательству РФ Домашние пользователи Государство

Конституционный суд упростил иски для жертв телефонного мошенничества

Конституционный суд подтвердил право жертв телефонного мошенничества обращаться в суд по месту своего жительства, а не по месту проживания ответчика. Ранее, исходя из положений статей 28 и 29 Гражданского процессуального кодекса РФ, суды нередко требовали подавать иски о возмещении ущерба именно по месту жительства ответчика.

С жалобой в высшую судебную инстанцию обратилась жительница Ставропольского края, сообщает «Российская газета».

Женщина стала жертвой злоумышленников, которые получили доступ к её онлайн-банку и похитили значительную сумму денег. По данному факту было возбуждено уголовное дело, однако его приостановили из-за неустановления лица, подлежащего привлечению в качестве обвиняемого.

В ходе расследования при этом удалось установить номер банковской карты дропа. Потерпевшая подала иск к владельцу карты о взыскании неосновательного обогащения, однако суды отклонили обращения «за нарушение принципа подсудности», поскольку ответчик проживал в Московской области. Поездка в другой регион, как указала заявительница, была для неё связана с «болезненными и практически непреодолимыми трудностями».

Судьи Конституционного суда напомнили, что право на судебную защиту предполагает эффективное восстановление нарушенных прав и свобод посредством правосудия.

«Актуальная социально-криминологическая обстановка и меняющийся характер и динамика преступности дают дополнительные основания для совершенствования гарантий доступности правосудия для потерпевших от преступлений, — приводит издание выдержку из решения Конституционного суда. — При этом учёту подлежат особенности правовой природы отношений собственности как объекта посягательства и такого их предмета, в качестве которого выступают деньги, способные поступать в результате хищения в распоряжение лиц, находящихся в самых разных, в том числе весьма удалённых от места жительства потерпевшего, местах».

В итоге Конституционный суд признал необходимость отступления от принципа территориальной подсудности при подаче исков жертвами мошенников. В суде указали, что следование прежнему подходу смещает баланс в пользу потенциального ответчика, и такой дисбаланс должен быть устранён, в том числе на законодательном уровне.

Какие продукты и технологии лучшие в ИБ в 2025 году? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »