Tajming napad je vrsta napada sa strane kanala u području sajber sigurnosti koji iskorištava varijacije u vremenu potrebnom za izvršavanje kriptografskih algoritama. Analizom ovih vremenskih razlika, napadači mogu zaključiti osjetljive informacije o kriptografskim ključevima koji se koriste. Ovaj oblik napada može ugroziti sigurnost sistema koji se oslanjaju na kriptografske algoritme za zaštitu podataka.
U vremenskom napadu, napadač mjeri vrijeme potrebno za izvođenje kriptografskih operacija, kao što su šifriranje ili dešifriranje, i koristi te informacije da bi zaključio detalje o kriptografskim ključevima. Osnovni princip je da različite operacije mogu potrajati malo različito vrijeme u zavisnosti od vrijednosti bitova koji se obrađuju. Na primjer, prilikom obrade 0 bita, operacija bi mogla potrajati manje vremena u odnosu na obradu 1 bita zbog internog rada algoritma.
Vremenski napadi mogu biti posebno efikasni protiv implementacija kojima nedostaju odgovarajuće protumjere za ublažavanje ovih ranjivosti. Jedna uobičajena meta vremenskih napada je RSA algoritam, gdje operacija modularne eksponencijacije može pokazati varijacije vremena na osnovu bitova tajnog ključa.
Postoje dvije glavne vrste napada na vrijeme: pasivni i aktivni. U pasivnom vremenskom napadu, napadač posmatra vremensko ponašanje sistema bez aktivnog uticaja na njega. S druge strane, aktivni vremenski napad uključuje napadača koji aktivno manipulira sistemom kako bi uveo vremenske razlike koje se mogu iskoristiti.
Da bi spriječili napade na vrijeme, programeri moraju implementirati sigurne prakse kodiranja i protumjere. Jedan pristup je osigurati da kriptografski algoritmi imaju implementaciju u konstantnom vremenu, gdje vrijeme izvršenja ne ovisi o ulaznim podacima. Ovo eliminira vremenske razlike koje napadači mogu iskoristiti. Osim toga, uvođenje nasumičnih kašnjenja ili tehnika zasljepljivanja može pomoći da se zamagli informacije o vremenu koje su dostupne potencijalnim napadačima.
Timing napadi predstavljaju značajnu prijetnju sigurnosti kriptografskih sistema iskorištavanjem vremenskih varijacija u izvršavanju algoritma. Razumijevanje principa koji stoje iza napada na vrijeme i implementacija odgovarajućih protumjera su ključni koraci u zaštiti osjetljivih informacija od zlonamjernih aktera.
Ostala nedavna pitanja i odgovori u vezi EITC/IS/ACSS Napredna sigurnost računarskih sistema:
- Koji su trenutni primjeri nepouzdanih servera za pohranu?
- Koje su uloge potpisa i javnog ključa u komunikacijskoj sigurnosti?
- Da li je sigurnost kolačića dobro usklađena sa SOP-om (istom politikom porijekla)?
- Da li je napad krivotvorenja zahtjeva na više lokacija (CSRF) moguć i sa GET zahtjevom i sa POST zahtjevom?
- Da li je simbolično izvršenje pogodno za pronalaženje dubokih grešaka?
- Može li simbolično izvršenje uključivati uslove puta?
- Zašto se mobilne aplikacije pokreću u sigurnoj enklavi na modernim mobilnim uređajima?
- Postoji li pristup pronalaženju grešaka u kojima se softver može dokazati sigurnim?
- Da li tehnologija sigurnog pokretanja na mobilnim uređajima koristi infrastrukturu javnog ključa?
- Postoji li mnogo ključeva za šifriranje po sistemu datoteka u modernoj bezbednoj arhitekturi mobilnog uređaja?
Pogledajte više pitanja i odgovora u EITC/IS/ACSS Advanced Computer Systems Security