「時序攻擊法」(Timing Attack)與安全防護說明
行政院研究發展考核委員會   　　　94年8月
一、時序攻擊法(Timing Attack)
(一)      時序攻擊法是由密碼學專家Paul Kocher所提出，主要利用電腦加解密運算時之時間特徵，推導出私密金鑰的一種攻擊方法。由於是一種全新之攻擊概念，因而引發廣泛之討論。
(二)      時序攻擊法對於一般公開金鑰系統均有潛在威脅，已有多項警訊發布，包括2項有關OpenSSL、1項有關OpenSSH、1項有關ProFTPD、1項有關CPU「超執行緒」（Hyper-Threading）技術及1項有關AES標準（請參考附件一）。
二、影響分析
(一)      時序攻擊法對於在伺服器上使用公開金鑰系統具有潛在威脅，個人電腦則不受影響。
(二)      依據相關警訊資料，目前受影響的範圍分軟、硬體兩方面加以說明：
1.      軟體：時序攻擊法之對象主要為加解密模組，已知受影響之軟體包括OpenSSL、OpenSSH及ProFTPD等，其他受到影響之作業系統則均為多人多工之作業環境，如：Debian Linux、Redhat Linux、Turbolinux、Mandrake、FreeBSD、Sun Solaris _x86等。（請參閱附件一中各弱點警訊所列舉之參考資料）
2.      硬體：具備「超執行緒」功能之CPU，可使1個CPU模擬為2個CPU，進而允許2個執行緒同時執行，以增加系統的整體效能，但如其他安全軟體漏洞未有效防範下，可能意外造成利用時序攻擊法獲取正常執行緒中之加密金鑰的風險。
3.      「時序攻擊法」安全弱點並非全然導致於或全然可歸責於超執行緒技術，從系統工程角度觀之，安全軟體導致的弱點可能更容易導致遭受「時序攻擊法」的風險。另外，依據Gartner於2005年5月20日發表的研究報告，在多項加密建置方案中，含大量快取的系統均有可能遭受軟體時序攻擊之風險。
(三)      由於時序攻擊法之複雜度高，目前尚無資安機構公布發現相關資安事件。軟體業界與資通安全專家亦指出引發時序攻擊法的風險是有限的，可能還有其他更容易的方法可以竊取相關的金鑰資訊。
三、因應說明
(一)      基本資通安全防護：各機關應持續遵循各項資通安全防護策略，包括更新作業系統、硬體或軟體防火牆及間諜軟體防護程式與防毒軟體，以確保系統未遭受惡意軟體侵犯，以減少進一步受到時序攻擊法攻擊的風險。
(二)      受影響軟體之因應作為：立即查詢相關廠商之更新程式，進行弱點補強作業。
(三)      受影響硬體之因應作為：造成時序攻擊法的風險主因為相關軟體未能妥善設計，以致有遭受攻擊的風險，單純從硬體上不使用「超執行緒」功能，並非是減少時序攻擊法風險的有效方法，更有效的解決方法是修補容易遭受攻擊的軟體。
(四)      參考本會發布Intel處理器「超執行緒」技術設計漏洞說明(本會94年7月15日會訊字第0940014325號函送)「三、因應說明」之(二)所提因應建議，從整體系統工程觀點兼顧硬體與軟體防範指施。在軟體或硬體廠商對其現有產品尚未提供進一步的整體安全防護措施前，後續相關設備採購建議調整如下：
1.      當採購加解密模組軟體或多人多工之作業系統，建議請廠商提供如何防範時序攻擊法相關弱點之安全防護措施建議。
2.      當採購具「超執行緒」功能之硬體，如有應用需要，建議請廠商從整體系統工程觀點提供防範時序攻擊法相關弱點之軟硬體安全防護建議。
(五)      其他注意事項：預防時序攻擊法之徹底解決方法是修正容易遭受攻擊之程式碼。因此，各機關於系統發展時，應遵守以下事項：
1.      系統運作時所使用之機敏資料，如：加密金鑰與通行碼等，使用後應立即清除，不可留在記憶體中，以避免遭間諜程式掃瞄竊取。
2.      加解密程式應妥善設計，不洩露執行特徵，以避免遭時序攻擊法之攻擊。
四、相關事宜請洽技術服務中心呂小姐，電話：（02）2733-9922。
五、參考資料
(一)      Paul C. Kocher: Timing Attacks on Implementations of Diffie-Hellman, RSA, DSS, and Other Systems. CRYPTO 1996: 104–113.
(二)      David Brumley and Dan Boneh: Remote timing attacks are practical. USENIX Security Symposium, August 2003.
(三)      Colin Percival: Cache Missing for Fun and Profit, May 13, 2005.
(四)      Martin Reynolds: Prepare for the Threat of Timing Attacks, Gartner Research, ID Number:G00127924, 20 May 2005.

附件一、時序攻擊法相關警訊
資料來源：美國 US-CERT 之共通弱點公告（Common Vulnerabilities and Exposures, CVE），網址為 http://cve.m....org。
CVE-2003-0078
Name      CVE-2003-0078
Description      ssl3_get_record in s3_pkt.c for OpenSSL before 0.9.7a and 0.9.6 before 0.9.6i does not perform a MAC computation if an incorrect block cipher padding is used, which causes an information leak (timing discrepancy) that may make it easier to launch cryptographic attacks that rely on distinguishing between padding and MAC verification errors, possibly leading to extraction of the original plaintext, aka the "Vaudenay timing attack."
References      •      CONFIRM:http://www.openssl.org/new...030219.txt
•      BUGTRAQ:20030219 OpenSSL 0.9.7a and 0.9.6i released
•      CONECTIVA:CLSA-2003:570
•      DEBIAN:DSA-253
•      ENGARDE:ESA-20030220-005
•      FREEBSD:FreeBSD-SA-03:02
•      GENTOO:GLSA-200302-10
•      REDHAT:RHSA-2003:062
•      REDHAT:RHSA-2003:063
•      REDHAT:RHSA-2003:082
•      REDHAT:RHSA-2003:104
•      REDHAT:RHSA-2003:205
•      SGI:20030501-01-I
•      TRUSTIX:2003-0005
•      MANDRAKE:MDKSA-2003:020
•      NETBSD:NetBSD-SA2003-001
•      SUSE:SuSE-SA:2003:011
•      BUGTRAQ:20030219 [OpenPKG-SA-2003.013] OpenPKG Security Advisory (openssl)
•      CIAC:N-051
•      BID:6884
•      XF:ssl-cbc-information-leak(11369)
OSVDB:3945



CAN-2003-0147
Name      CAN-2003-0147 (under review)
Description      OpenSSL does not use RSA blinding by default, which allows local and remote attackers to obtain the server's private key by determining factors using timing differences on (1) the number of extra reductions during Montgomery reduction, and (2) the use of different integer multiplication algorithms ("Karatsuba" and normal).
References
•      BUGTRAQ:20030313 Vulnerability in OpenSSL
•      URL:http://marc.theaimsgroup.com/?l=b...6550528628&w=2
•      VULNWATCH:20030313 OpenSSL Private Key Disclosure
•      URL:http://archives.neohapsis.com/archi...03-q1/0130.html
•      CONFIRM:http://www.openssl.org/new...030317.txt
•      BUGTRAQ:20030317 [ADVISORY] Timing Attack on OpenSSL
•      URL:http://marc.theaimsgroup.com/?l=b...2570615648&w=2
•      MISC:http://crypto.stanford.edu/~d...l-timing.pdf
•      CONECTIVA:CLA-2003:625
•      URL:http://distro.conectiva.com.br/atu...&anuncio=000625
•      DEBIAN:DSA-288
•      URL:http://www.debian.org/se...3/dsa-288
•      ENGARDE:ESA-20030320-010
•      FREEBSD:FreeBSD-SA-03:06
•      GENTOO:GLSA-200303-24
•      URL:http://marc.theaimsgroup.com/?l=b...1762028637&w=2
•      GENTOO:GLSA-200303-15
•      URL:http://marc.theaimsgroup.com/?l=b...9040921835&w=2
•      MANDRAKE:MDKSA-2003:035
•      URL:http://www.mandrakesecure.net/en/advisor...ame=MDKSA-2003:035
•      REDHAT:RHSA-2003:101
•      URL:http://www.redhat.com/support/...003-101.html
•      REDHAT:RHSA-2003:102
•      URL:http://www.redhat.com/support/...003-102.html
•      REDHAT:RHSA-2003:205
•      SGI:20030501-01-I
•      URL:ftp://patches.sgi.com/support/free/s...es/20030501-01-I
•      BUGTRAQ:20030320 [OpenPKG-SA-2003.026] OpenPKG Security Advisory (openssl)
•      URL:http://marc.theaimsgroup.com/?l=b...9602408063&w=2
•      CERT-VN:VU#997481
•      URL:http://www.kb.cert.or...d/997481
•      OVAL:OVAL466
•      URL:http://oval.mitre.org/oval/defi.../OVAL466.html

CAN-2003-0190
Name      CAN-2003-0190 (under review)
Description      OpenSSH-portable (OpenSSH) 3.6.1p1 and earlier with PAM support enabled immediately sends an error message when a user does not exist, which allows remote attackers to determine valid usernames via a timing attack.
References
•      BUGTRAQ:20030430 OpenSSH/PAM timing attack allows remote users identification
•      URL:http://marc.theaimsgroup.com/?l=b...2058404810&w=2
•      FULLDISC:20030430 OpenSSH/PAM timing attack allows remote users identification
•      URL:http://lists.grok.org.uk/pipermail/full...April/004815.html
•      MISC:http://lab.mediaservice.net/ad...1-openssh.txt
•      REDHAT:RHSA-2003:222
•      URL:http://www.redhat.com/support/...003-222.html
•      REDHAT:RHSA-2003:224
•      URL:http://www.redhat.com/support/...003-224.html
•      BUGTRAQ:20030806 [OpenPKG-SA-2003.035] OpenPKG Security Advisory (openssh)
•      URL:http://marc.theaimsgroup.com/?l=b...8677302607&w=2
•      TURBO:TLSA-2003-31
•      URL:http://www.turbolinux.com/se...2003-31.txt
•      OVAL:OVAL445
•      URL:http://oval.mitre.org/oval/defi.../OVAL445.html


CAN-2004-1602
Name      CAN-2004-1602 (under review)
Description      ProFTPD 1.2.x, including 1.2.8 and 1.2.10, responds in a different amount of time when a given username exists, which allows remote attackers to identify valid usernames by timing the server response
References
•      BUGTRAQ:20041015 ProFTPD 1.2.x remote users enumeration bug
•      URL:http://marc.theaimsgroup.com/?l=b...6760926133&w=2
•      MISC:http://security.lss.hr/index.php?p...LSS-2004-10-02
•      BID:11430
•      URL:http://www.securityfo...id/11430
•      SECTRACK:1011687
•      URL:http://securitytracke...?1011687
•      XF:proftpd-info-disclosure(17724)
•      URL:http://xforce.iss.net/...db/17724

CAN-2005-0109
Name      CAN-2004-0109 (under review)
Description      Hyper-Threading technology, as used in FreeBSD other operating systems and implemented on Intel Pentium and other processors, allows local users to use a malicious thread to create covert channels, monitor the execution of other threads, and obtain sensitive information such as cryptographic keys, via a timing attack on memory cache misses.
References
•      MISC:http://www.daemonology....s/htt.pdf
•      MISC:http://www.daemonology.net/hypert...dered-harmful/
•      MLIST:[openbsd-misc] 20050304 Re: FreeBSD hiding security stuff
•      URL:http://marc.theaimsgroup.com/?l=ope...95101417256&w=2
•      MLIST:[freebsd-security] 20050304 [Fwd: Re: FW:FreeBSD hiding security stuff]
•      URL:http://marc.theaimsgroup.com/?l=freeb...994370429609&w=2
•      MLIST:[freebsd-hackers] 20050304 Re: FW:FreeBSD hiding security stuff
•      URL:http://marc.theaimsgroup.com/?l=freeb...994026421858&w=2
•      FREEBSD:FreeBSD-SA-05:09
•      SCO:SCOSA-2005.24
•      URL:ftp://ftp.sco.com/pub/updates/UnixWar...COSA-2005.24.txt
•      SUNALERT:101739
•      URL:http://sunsolve.sun.com/search/docu...y=1-26-101739-1
•      CERT-VN:VU#911878
•      URL:http://www.kb.cert.or...d/911878
•      BID:12724
•      URL:http://www.securityfo...id/12724
•      FRSIRT:ADV-2005-0540
•      URL:http://www.frsirt.com/engli...s/2005/0540
•      SECTRACK:1013967
•      URL:http://securitytracke...?1013967

CAN-2005-1797
Name      CAN-2005-1797 (under review)
Description      The design of Advanced Encryption Standard (AES), aka Rijndael, allows remote attackers to recover AES keys via timing attacks on S-box lookups, which are difficult to perform in constant time in AES implementations.
References
•      MISC:http://cr.yp.to/antiforgery/...20050414.pdf
•      BID:13785
•      URL:http://www.securityfo...id/13785

這是一項很好的資料耶

不錯哦

感謝大大分享
希望以後有這方面資訊也能提供