Discussion :

[Patrick Ruiz]

Le déchiffrement d’une implémentation OpenSSL d’AES-256 est réalisable en quelques secondes
Et avec un équipement peu coûteux

Les chercheurs en sécurité de Fox-IT, une entreprise spécialisée dans la mise au point de systèmes protégés contre les attaques par canal auxiliaire, viennent de publier la preuve de concept d’une attaque par canal caché d’un système chiffré avec l’algorithme AES-256. Leur système se veut être une alternative aux autres mettant en œuvre des attaques par canal auxiliaire avec du matériel très coûteux.

Les chercheurs de Fox-IT se sont servis d’une antenne cadre couplée à un filtre passe-bande et à un amplificateur. Le signal obtenu de cet ensemble a servi à alimenter une radio logicielle sur un dongle USB utilisé pour le transfert des données vers le PC utilisé dans le cadre des travaux. L’ensemble antenne, filtre, amplificateur et radio logicielle peut être obtenu sur Internet pour la somme de 200 €, le module radio logicielle étant celui qui, choisi dans le haut de gamme, peut faire grimper le coût total.

Cet ensemble a servi à mesurer les variations de la puissance du rayonnement électromagnétique émis par le bus liant le processeur d’une carte FPGA SmartFusion2 – faisant tourner une implémentation OpenSSL de l’algorithme de chiffrement AES-256 – et sa mémoire vive. Le plus dur pour les chercheurs a été, comme ils l’ont précisé, d’exploiter la relation entre les données chiffrées objet de l’investigation et les variations de puissance mesurées pour établir le meilleur modèle de prédiction.

Le modèle de prédiction mis en place par ces derniers s’inspire assez d’une attaque par force brute. La différence dans leur cas est que la recherche porte sur un octet de la clé de chiffrement à la fois, ce qui limite la recherche à 256 cas. Le processus est répété pour chacun des octets constitutifs de la clé de chiffrement recherchée.

En procédant ainsi, il faut explorer au total 8192 cas au terme desquels la clé de chiffrement est retrouvée. Il faudrait noter qu’une attaque par force brute classique requiert l’exploration de 2²⁵⁶ cas, une infinité en comparaison de celui obtenu avec leur méthode. Les chercheurs affirment que la recherche de la clé avec leur méthode a nécessité cinq minutes à une distance de un mètre, durée qui pourrait chuter à 50 secondes si la mesure est effectuée à 30 cm de la carte SmartFusion2.

Petites précisions additionnelles cependant, les mesures ont été effectuées dans un environnement exempt de radiations électromagnétiques de puissance aussi importante que celles qui sont générées par le bus liant le processeur de la carte SmartFusion2 et sa mémoire vive, toutes choses qui seraient de nature à introduire des perturbations que le modèle de prédiction mis en place ne saurait gérer efficacement.

Il est donc clair que ce système demande des améliorations pour donner de bons résultats dans des environnements plus exigeants. On notera néanmoins que l’intérêt ici réside dans la possibilité de lancer une attaque contre un système utilisant l’algorithme de chiffrement AES-256 à moindre coût.

Source : Publication Fox-IT (PDF)

Et vous ?

Qu’en pensez-vous ?

La méthode utilisée pourrait-elle permettre d’obtenir de bons résultats sur une implémentation matérielle d’AES-256 ?

Voir aussi :

Le chiffrement AES cracké par des chercheurs français, belges et de Microsoft : la méthode reste très complexe

[transgohan]

Le POC est assez intéressant.

[htoukour]

Temps de passer a AES-512 ou Dragon-1024

[Damoy]

Leur système se veut être une alternative aux autres mettant en œuvre des attaques par canal auxiliaire avec du matériel très coûteux.

Très ou très peu coûteux ?

[gangsoleil]

Leur système se veut être une alternative aux autres mettant en œuvre des attaques par canal auxiliaire avec du matériel très coûteux.

Très ou très peu coûteux ?

Très, justement : ici, pour 200$, tu as un système qui fonctionne -- du moins en théorie -- alors que la plupart des autres attaques utilisent du matériel très coûteux.

[transgohan]

Ah le Français.
Rajoutons des virgules et on change le sens de la phrase.

Ce qu'a compris Damoy :

Leur système se veut être une alternative aux autres, mettant en œuvre des attaques par canal auxiliaire, avec du matériel très coûteux.

Ce qu'a compris gangsoleil :

Leur système se veut être une alternative aux autres, mettant en œuvre des attaques par canal auxiliaire avec du matériel très coûteux.

Edit : bien qu'en fait la seconde peut être aussi interprété comme telle au final...

[philou44300]

Nul doute que si c'est réalisable cela va intéresser des gouvernements.

Par contre, ce que je comprends pas c'est que si je chiffre mon disque dur ou un fichier avec AES-256, il serait donc possible de découvrir la clé rapidement avec cette technique et de déchiffrer le fichier ou le disque ou pas?

Si c'est le cas alors AES-256 ne devrait plus être considéré comme sûr.

[revedelle]

Pour l'instant la méthode est quand même très théorique (un environnement totalement sans radiation n'est possible qu'en laboratoire)
Et le plus gros problème n'est pas l'algorithme de chiffrement ici, car la méthode pourrait être adaptée à n'importe quel algorithme (la ils ont fait avec AES 256 car c'est le plus sur actuellement)
Le plus gros problème est, si il arrive a vraiment exploiter leur méthode en condition réelle, qu'il peuvent potentiellement casser n'importe quel algorithme cryptographique exécuté sur ce type de processeur
Une solution consisterait à rallonger la clé (mais pas de 256 a 512 mais genre de 256 a 256M ) le problème étant qu'après cela alourdit (pour pas dire rend impossible) les traitements

Enfin si j'ai bien tout compris n'hésitez pas a me dire si je raconte n'importe quoi

[shenron666]

Est-ce que vous avez au moins relevé ce point ? :

Les chercheurs affirment que la recherche de la clé avec leur méthode a nécessité cinq minutes à une distance de un mètre, durée qui pourrait chuter à 50 secondes si la mesure est effectuée à 30 cm de la carte SmartFusion2.

Une distance de 1 mètre en environnement sain, ce qui 'est pas le cas de la réalité.
Quid de la mise en oeuvre en condition normale de la méthode ?

[hoshantm]

Puisque les émissions électromagnétiques sont exploités, il suffit donc d'utiliser des moyens pour brouiller ces émissions où d'avoir de le system dans une cage en metal de sorte de minimiser les émissions. A mon avis, ce genre d'attaque reste théorique sauf dans le cas d'attaque contre les puces telles que celles des téléphones portables.

[Vinchenzo.939]

c'est quand meme plus impressionnant que les travaux d'espionnage d'imprimante restée ouverte