RSA 算法及一种意想不到的攻击方式

2017-01-10 12:56:31 +08:00
 tl3shi
又来拉流量了~

本文概述了 RSA 算法流程及一种有意思的攻击方式(timing attack).


http://mp.weixin.qq.com/s/eU3AmoFVco7Hgj4__lNbhQ

有做安全的朋友么, 实际场景中有没有这种攻击方式?
5636 次点击
所在节点    程序员
29 条回复
DuckJK
2017-01-10 13:12:57 +08:00
想起来原来看 tornado 的时候一篇文章,就记得里面比较字符串的问题,还真是巧
https://www.keakon.net/2012/12/03/Tornado%E4%BD%BF%E7%94%A8%E7%BB%8F%E9%AA%8C
mengzhuo
2017-01-10 13:42:19 +08:00
好有趣的方式
xiaket
2017-01-10 13:56:05 +08:00
因为好像通过统计运行时间总感觉不太靠谱, 这个运行时间对环境太敏感了, 比如网络, 内存, CPU 负载等等都会影响.

记得看过文章,这种感觉不靠谱是不靠谱的.
scnace
2017-01-10 13:58:23 +08:00
感觉就是一种取巧的爆破了……不过还是学习了…
langmoe
2017-01-10 13:59:00 +08:00
@xiaket 要有靠谱的那就真的大新闻了。。
glasslion
2017-01-10 14:00:17 +08:00
这有啥意想不到的?很常见的攻击方式
KhadainJHIN
2017-01-10 14:40:15 +08:00
这 ......时间盲注?
artandlol
2017-01-10 14:51:01 +08:00
@scnace 所以我的密码都带一个闽南语字符
wy315700
2017-01-10 14:53:59 +08:00
@xiaket 一般密码学算法最后都会用芯片去实现,所以运行时间都是固定的


@tl3shi
现在拿的出手的算法实现,基本上时间、功耗、辐射这些旁路攻击都要能防御
xavierskip
2017-01-10 15:48:58 +08:00
卧槽,微信里面居然都有代码高亮了,真没想到
40huo
2017-01-10 16:02:54 +08:00
这种旁道攻击现在越来越多了。。。全是脑洞,之前还有用监听隔壁房间噪音破解数据的。
greenmoon55
2017-01-10 18:37:28 +08:00
这也是密码学里一类攻击方式。
phrack
2017-01-10 18:44:39 +08:00
好吊的样子,我用这些算法都只知道找库直接用的,原理都不清楚。
crownprince
2017-01-10 18:47:15 +08:00
攻击思路是很踏实的,可以理解为一种基于时间的盲”注”,但个人认为,基于时间的盲注,在 sql 注入的应用中,因为执行的注入成功时,使用的 sql 语句,所需要的时间更长(长的很明显),所以备受推崇; 但如果只是在后台执行了字符串判断,而且用了位运算,是否会让这种注入方式的时间差很小,很易受到影响?
txlty
2017-01-10 19:08:17 +08:00
qgy18
2017-01-10 20:09:53 +08:00
http://php.net/manual/zh/function.hash-equals.php

php 5.6 还专门增加了一个方法: hash_equals

比较两个字符串,无论它们是否相等,本函数的时间消耗是恒定的。
本函数可以用在需要防止时序攻击的字符串比较场景中, 例如,可以用在比较 crypt() 密码哈希值的场景。
panlilu
2017-01-10 21:23:04 +08:00
感觉好可怕。。服务器性能太好也危险啊 2333
owt5008137
2017-01-10 21:24:26 +08:00
这个思路是蛮可以的
drackzy
2017-01-10 21:32:25 +08:00
SoloCompany
2017-01-11 01:15:21 +08:00
@xavierskip 你从哪看出来样式和微信有任何关系的?
难道这不应该是由 hexo 直接导出来的 html 吗?
https://www.tanglei.name/blog/rsa-and-timing-attack.html

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/333579

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX