Un atac de temps és un tipus d'atac de canal lateral en l'àmbit de la ciberseguretat que aprofita les variacions en el temps necessari per executar algorismes criptogràfics. Mitjançant l'anàlisi d'aquestes diferències de temps, els atacants poden inferir informació sensible sobre les claus criptogràfiques que s'utilitzen. Aquesta forma d'atac pot comprometre la seguretat dels sistemes que es basen en algorismes criptogràfics per a la protecció de dades.
En un atac de cronometratge, l'atacant mesura el temps que triga a realitzar operacions criptogràfiques, com ara el xifratge o el desxifrat, i utilitza aquesta informació per deduir detalls sobre les claus criptogràfiques. El principi subjacent és que les diferents operacions poden trigar quantitats de temps lleugerament diferents depenent dels valors dels bits que s'estan processant. Per exemple, quan es processa un bit 0, una operació pot trigar menys temps en comparació amb el processament d'un bit a causa del funcionament intern de l'algorisme.
Els atacs de temps poden ser especialment efectius contra les implementacions que no tenen les contramesures adequades per mitigar aquestes vulnerabilitats. Un objectiu comú dels atacs de temporització és l'algorisme RSA, on l'operació d'exponenciació modular pot mostrar variacions de temporització en funció dels bits de la clau secreta.
Hi ha dos tipus principals d'atacs de cronometratge: passius i actius. En un atac de sincronització passiu, l'atacant observa el comportament de sincronització del sistema sense influir-hi activament. D'altra banda, un atac de temps actiu implica que l'atacant manipuli activament el sistema per introduir diferències de temps que es puguin explotar.
Per evitar atacs de temps, els desenvolupadors han d'implementar pràctiques de codificació i contramesures segures. Un enfocament és garantir que els algorismes criptogràfics tinguin una implementació en temps constant, on el temps d'execució no depèn de les dades d'entrada. Això elimina les diferències de temps que els atacants podrien explotar. A més, la introducció de retards aleatoris o tècniques d'encegament pot ajudar a ofuscar la informació de temps disponible per als potencials atacants.
Els atacs de temporització suposen una amenaça important per a la seguretat dels sistemes criptogràfics mitjançant l'explotació de les variacions de temps en l'execució de l'algorisme. Comprendre els principis darrere dels atacs de temps i implementar les contramesures adequades són passos crucials per salvaguardar la informació confidencial d'actors maliciosos.
Altres preguntes i respostes recents sobre EITC/IS/ACSS Seguretat de sistemes informàtics avançats:
- Quins són alguns exemples actuals de servidors d'emmagatzematge no fiables?
- Quines són les funcions d'una signatura i d'una clau pública en la seguretat de les comunicacions?
- La seguretat de les galetes està ben alineada amb el SOP (política del mateix origen)?
- És possible l'atac de falsificació de sol·licituds entre llocs (CSRF) tant amb la sol·licitud GET com amb la sol·licitud POST?
- L'execució simbòlica és adequada per trobar errors profunds?
- L'execució simbòlica pot implicar condicions del camí?
- Per què les aplicacions mòbils s'executen a l'enclavament segur dels dispositius mòbils moderns?
- Hi ha un enfocament per trobar errors en què es pugui demostrar que el programari és segur?
- La tecnologia d'arrencada segura dels dispositius mòbils fa ús de la infraestructura de clau pública?
- Hi ha moltes claus de xifratge per sistema de fitxers en una arquitectura moderna de seguretat per a dispositius mòbils?
Vegeu més preguntes i respostes a EITC/IS/ACSS Advanced Computer Systems Security