Интернет безопасность Атака по времени на соседнюю VM в облачном хостинге для извлечения секретных ключейАтака по времени на соседнюю VM в облачном хостинге для извлечения секретных ключей
Группа исследователей представила на конференции ACM CCS интересную научную работу (pdf), которая посвящена специфическим криптографическим уязвимостям облачных сервисов. Дело в том, что многие современные веб-сайты полностью размещаются в облаке, обычно — на виртуальных машинах хостинг-провайдера Amazon. В результате, их сервисы TLS и SSH основаны на секретных ключах, которые генерируются в виртуальных машинах хостинг-провайдера. Проблема в том, что инстансы VM зачастую работают на одном и том же оборудовании, то есть на одних и тех же серверах. По соседству с вашим инстансом может быть виртуальная машина злоумышленника. Именно такую ситуацию описывает группа исследователей под руководством известного криптолога Арии Джуелса (Ari Juels) из RSA Laboratories в научной работе “Cross-VM Side Channels and Their Use to Extract Private Keys”.
Речь идёт об атаке по сторонним каналам (Side channels attack) между виртуальными машинами. Атака по сторонним каналам использует информацию о физических процессах в устройстве, которые не рассматриваются в теоретическом описании криптографического алгоритма. Криптоанализ осуществляется по побочным характеристикам, специфичным для конкретной реализации криптографического алгоритма, таким как время выполнения операций, потребляемая мощность, электромагнитное излучение и т.д.
Угроза атаки по сторонним каналам между виртуальными машинами давно обсуждалась исследователями, но практическая реализация такой атаки оказалась неожиданно сложной, поскольку гипервизоры VM значительно затрудняют получения точной информации с физического уровня сервера. Однако, группа исследователей под руководством Джуелса элегантно продемонстрировала, что подобная угроза действительно существует.
В опубликованном исследовании идёт работа с гипервизором Xen, который используется в облаке Amazon EC2, а также похожее оборудование: многоядерные серверы с отключённым SMT. Атака предполагает, что злоумышленник и жертва находятся на одном сервере и жертва расшифровывает текст по схеме Эль-Гамаля с помощью библиотеки libgcrypt v.1.5.0.
Схема Эль-Гамаля предполагает, что берётся фрагмент сообщения x, после чего вычисляется x^e mod N, где e — это секретный ключ, а N — обычно, простое число. Возведение в степень осуществляется по быстрому алгоритму.
Как можно заметить, в этом алгоритме используются конкретные биты секретного ключа, и скорость вычисления каждой операции зависит от того, является бит секретного ключа 0 или 1.
Способ атаки по сторонним каналам на алгоритм быстрого возведения в степень известен с 90-х годов, но сейчас исследователи показали, как можно на практике использовать его на виртуальных машинах с гипервизором Xen и на оборудовании, близком к Amazon EC2. Вычисление тайминга процесса на соседней VM осуществляется через общий доступ к кэшу L1 процессора на сервере (VCPU). В случае с 2-VCPU VM исследователи нагружают второй VCPU работой, чтобы гарантированно иметь доступ к тому же VCPU, на котором осуществляет криптографические вычисления виртуальная машина жертвы.
Исследователи разработали метод эффективного сбора данных с соседней VM, при условии, что она выполняет большой объём вычислительной работы с одним и тем же секретным ключом. Это вполне логичное предположение, если секретный ключ используется для SSL. Таким образом, нивелируются различные погрешности сбора данных из кэша, связанные с фрагментацией и выполнением посторонних процессов, не имеющих отношения к криптографии.
При каждой операции удаётся восстановить маленький фрагмент секретного ключа, потом фрагменты объединяются в единое целое.
S1: RSRMRSRMRSRSRSMRS2: MRSRSRSRMR**SRMRSR
S3: SRMRSRSR
S4: MRSRSRSR**SRMRSR
S5: MR*RSRMRSRMRSR
S6: MRSRSRMRSRSRSRMR
------------------------------------------------
SRSRMRSRMRSRSRSMRSRSRMRSRSRSRMRSRMRSRSRMRSRMRSR
Во время эксперимента была осуществлена атака на 4096-битный открытый ключ Эль-Гамаля, который (из-за оптимизаций libgcrypt) соответствует 457-битному секретному ключу. После нескольких часов сбора данных было собрано около тысячи фрагментов закрытого ключа, из которых 330 были достаточно длинными для использования в реконструкции оригинала. Это позволило исследователям восстановить секретный ключ почти полностью, за исключением нескольких бит, которые легко подбираются брутфорсом.
Подобную атаку на OpenSSL/RSA осуществить гораздо сложнее, чем на ключ Эль-Гамаля и libgcrypt, но теоретически это возможно, если вам удастся попасть на один сервер с жертвой.
Подробнее: http://www.xakep.ru/post/59547/default.asp
|
Группа исследователей представила на конференции ACM CCS интересную научную работу (pdf), которая посвящена специфическим криптографическим уязвимостям облачных сервисов. Дело в том, что многие |
РэдЛайн, создание сайта, заказать сайт, разработка сайтов, реклама в Интернете, продвижение, маркетинговые исследования, дизайн студия, веб дизайн, раскрутка сайта, создать сайт компании, сделать сайт, создание сайтов, изготовление сайта, обслуживание сайтов, изготовление сайтов, заказать интернет сайт, создать сайт, изготовить сайт, разработка сайта, web студия, создание веб сайта, поддержка сайта, сайт на заказ, сопровождение сайта, дизайн сайта, сайт под ключ, заказ сайта, реклама сайта, хостинг, регистрация доменов, хабаровск, краснодар, москва, комсомольск |
Дайджест новых статей по интернет-маркетингу на ваш email
Новые статьи и публикации
- 2025-12-02 » Когда ошибка молчит: как бессмысленные сообщения ломают пользовательский опыт
- 2025-12-02 » 9 лучших бесплатных фотостоков
- 2025-12-02 » UTM-метки: ключевой инструмент аналитики для маркетолога
- 2025-12-02 » ПромоСтраницы Яндекса: Что такое и для чего служит
- 2025-12-02 » Метатеги для сайта: исчерпывающее руководство по Title, Description, Canonical, Robots и другим тегам
- 2025-11-26 » Оценка эффективности контента: превращаем информационный балласт в рабочий актив
- 2025-11-26 » 10 причин высокого показателя отказов на сайте
- 2025-11-26 » Когда и зачем обновлять структуру сайта
- 2025-11-26 » Скрытые демотиваторы: как мелочи разрушают эффективность команды
- 2025-11-26 » Зачем запускать MVP и как сделать это грамотно?
- 2025-11-20 » Половина российских компаний сократит расходы на транспорт и маркетинг в 2026 году
- 2025-11-20 » Перенос сайта с большим количеством ссылок
- 2025-11-20 » Перелинковка сайта: Что такое и как ее использовать
- 2025-11-20 » Критерии выбора SEO-специалиста и подрядчика для продвижения сайта
- 2025-11-20 » Применение искусственного интеллекта в рекламных агентствах: комплексное исследование трендов 2025 года
- 2025-11-19 » Геозапросы по-новому: как покорить локальное SEO с помощью ИИ
- 2025-11-14 » Консалтинг: сущность и ключевые направления
- 2025-11-14 » Онлайн-формы: универсальный инструмент для сбора обратной связи
- 2025-11-14 » Факторы конверсии органического трафика
- 2025-11-14 » Планирование рекламного бюджета: самостоятельный подход
- 2025-11-14 » Авторизация на сайте: как выбрать решение для удержания клиентов и сохранения продаж
- 2025-11-13 » Эффективные методы стимулирования клиентов к оставлению положительных отзывов
- 2025-11-13 » Налоговая реформа — 2026: грядущие изменения для предпринимателей
- 2025-11-13 » Альтернативы мессенджерам: что выбрать вместо Telegram и WhatsApp
- 2025-11-13 » Маркировка рекламы для начинающих: полное руководство по требованиям ЕРИР
- 2025-11-13 » ИИ не отберет вашу работу — её займет специалист, владеющий искусственным интеллектом
- 2025-10-29 » Как оценить эффективность работы SEO-специалиста: практическое руководство для маркетологов и владельцев бизнеса
- 2025-10-29 » Киберспорт как маркетинговый инструмент: стратегии привлечения геймеров
- 2025-10-29 » Как говорить с аудиторией о сложном
- 2025-10-29 » Что такое доказательства с нулевым разглашением (ZKP) и их роль в блокчейне
Чтобы вырастить плодоносящий сайт - его полезно регулярно поливать и удобрять с помощью рекламы и оптимизации Компания "RedLine" |
Мы создаем сайты, которые работают! Профессионально обслуживаем и продвигаем их !
Как мы работаем
Заявка
Позвоните или оставьте заявку на сайте.
Консультация
Обсуждаем что именно Вам нужно и помогаем определить как это лучше сделать!
Договор
Заключаем договор на оказание услуг, в котором прописаны условия и обязанности обеих сторон.
Выполнение работ
Непосредственно оказание требующихся услуг и работ по вашему заданию.
Поддержка
Сдача выполненых работ, последующие корректировки и поддержка при необходимости.
Мы создаем практически любые сайты от продающих страниц до сложных, высоконагруженных и нестандартных веб приложений! Наши сайты это надежные маркетинговые инструменты для успеха Вашего бизнеса и увеличения вашей прибыли! Мы делаем красивые и максимально эффектные сайты по доступным ценам уже много лет!
Комплексный подход это не просто продвижение сайта, это целый комплекс мероприятий, который определяется целями и задачами поставленными перед сайтом и организацией, которая за этим стоит. Время однобоких методов в продвижении сайтов уже прошло, конкуренция слишком высока, чтобы была возможность расслабиться и получать \ удерживать клиентов из Интернета, просто сделав сайт и не занимаясь им...
Мы оказываем полный комплекс услуг по сопровождению сайта: информационному и техническому обслуживанию и развитию Интернет сайтов.
Контекстная реклама - это эффективный инструмент в интернет маркетинге, целью которого является увеличение продаж. Главный плюс контекстной рекламы заключается в том, что она работает избирательно.