研究人员揭露OPENSSL旁路攻击 用电磁信号探测密钥

美国佐治亚理工学院的安全研究团队日前公开揭露被极广泛使用的 OPENSSL 加密软件存在的旁路攻击漏洞

通过该漏洞可以使用无线电设备来探测 OPENSSL 加密密钥,进而解密通信内容窃取用户与服务器的数据等。

OPENSSL 是当前被广泛使用的加密通讯软件, 主要可以实现对等加密通信确保无法被中间人窃取私密数据。

至于研究人员揭露的 OPENSSL 旁路攻击则是通过拦截设备活动所产生的各种信号如电磁辐射等来探测密钥。

研究人员揭露OPENSSL旁路攻击漏洞用电磁信号探测密钥

简单设备即可探测加密密钥:

研究人员称设备进行计算的电流产生的电磁辐射、功耗变化、 声音甚至是温度变化等都可以分开进行辨识。

研究人员使用安卓设备和嵌入式开发板作为实验对象, 这两款设备都使用频率介于 0.8~1.1GHz 的处理器。

相关信号使用的频率为40MHz,研究人员通过某市场就可以买到的手持设备安装特定软件后即可开始探测。

经过多次试验研究人员成功探测到2048位RSA加密密钥的概率为95%以上,并且这种攻击手段相对更简单。

研究人员揭露OPENSSL旁路攻击漏洞用电磁信号探测密钥

无需多次登录即可获得密钥:

目前主流的攻击方法都需要分析多次交互行为才可以获得密钥, 这就需要设备不断地进行登录才可以产生。

而这种新的攻击方法只需要单次窃听电磁信号即可完成, 这使得攻击变得极为简单并且攻击成本大大下降。

研究人员指出由于需要的窃听设备体积很小很小, 因此可藏在咖啡厅或者桌子下探测周边的设备电磁信号。

OPENSSL已对漏洞进行修复:

作为被广泛使用的开源软件出现这种漏洞影响会非常大,因此OPENSSL早已对漏洞进行修复用户升级即可。

同样是考虑安全影响较大所以研究团队至今才公开漏洞,此时绝大多数设备都应该更新到OPENSSL最新版。

如果你的服务器在五月份至今仍然未进行更新,那么鉴于安全考虑还是尽早查找更新升级OPENSSL比较好。

本文来源 蓝点网 原创,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 原创 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
扫码关注蓝点网微信公众号

发表评论