「时序攻击法」(Timing Attack)与安全防护说明
行政院研究发展考核委员会   　　　94年8月
一、时序攻击法(Timing Attack)
(一)      时序攻击法是由密码学专家Paul Kocher所提出，主要利用电脑加解密运算时之时间特征，推导出私密金钥的一种攻击方法。由于是一种全新之攻击概念，因而引发广泛之讨论。
(二)      时序攻击法对于一般公开金钥系统均有潜在威胁，已有多项警讯发布，包括2项有关OpenSSL、1项有关OpenSSH、1项有关ProFTPD、1项有关CPU「超执行绪」（Hyper-Threading）技术及1项有关AES标准（请参考附件一）。
二、影响分析
(一)      时序攻击法对于在伺服器上使用公开金钥系统具有潜在威胁，个人电脑则不受影响。
(二)      依据相关警讯资料，目前受影响的范围分软、硬体两方面加以说明：
1.      软体：时序攻击法之对象主要为加解密模组，已知受影响之软体包括OpenSSL、OpenSSH及ProFTPD等，其他受到影响之作业系统则均为多人多工之作业环境，如：Debian Linux、Redhat Linux、Turbolinux、Mandrake、FreeBSD、Sun Solaris _x86等。（请参阅附件一中各弱点警讯所列举之参考资料）
2.      硬体：具备「超执行绪」功能之CPU，可使1个CPU模拟为2个CPU，进而允许2个执行绪同时执行，以增加系统的整体效能，但如其他安全软体漏洞未有效防范下，可能意外造成利用时序攻击法获取正常执行绪中之加密金钥的风险。
3.      「时序攻击法」安全弱点并非全然导致于或全然可归责于超执行绪技术，从系统工程角度观之，安全软体导致的弱点可能更容易导致遭受「时序攻击法」的风险。另外，依据Gartner于2005年5月20日发表的研究报告，在多项加密建置方案中，含大量快取的系统均有可能遭受软体时序攻击之风险。
(三)      由于时序攻击法之复杂度高，目前尚无资安机构公布发现相关资安事件。软体业界与资通安全专家亦指出引发时序攻击法的风险是有限的，可能还有其他更容易的方法可以窃取相关的金钥资讯。
三、因应说明
(一)      基本资通安全防护：各机关应持续遵循各项资通安全防护策略，包括更新作业系统、硬体或软体防火墙及间谍软体防护程式与防毒软体，以确保系统未遭受恶意软体侵犯，以减少进一步受到时序攻击法攻击的风险。
(二)      受影响软体之因应作为：立即查询相关厂商之更新程式，进行弱点补强作业。
(三)      受影响硬体之因应作为：造成时序攻击法的风险主因为相关软体未能妥善设计，以致有遭受攻击的风险，单纯从硬体上不使用「超执行绪」功能，并非是减少时序攻击法风险的有效方法，更有效的解决方法是修补容易遭受攻击的软体。
(四)      参考本会发布Intel处理器「超执行绪」技术设计漏洞说明(本会94年7月15日会讯字第0940014325号函送)「三、因应说明」之(二)所提因应建议，从整体系统工程观点兼顾硬体与软体防范指施。在软体或硬体厂商对其现有产品尚未提供进一步的整体安全防护措施前，后续相关设备采购建议调整如下：
1.      当采购加解密模组软体或多人多工之作业系统，建议请厂商提供如何防范时序攻击法相关弱点之安全防护措施建议。
2.      当采购具「超执行绪」功能之硬体，如有应用需要，建议请厂商从整体系统工程观点提供防范时序攻击法相关弱点之软硬体安全防护建议。
(五)      其他注意事项：预防时序攻击法之彻底解决方法是修正容易遭受攻击之程式码。因此，各机关于系统发展时，应遵守以下事项：
1.      系统运作时所使用之机敏资料，如：加密金钥与通行码等，使用后应立即清除，不可留在记忆体中，以避免遭间谍程式扫瞄窃取。
2.      加解密程式应妥善设计，不泄露执行特征，以避免遭时序攻击法之攻击。
四、相关事宜请洽技术服务中心吕小姐，电话：（02）2733-9922。
五、参考资料
(一)      Paul C. Kocher: Timing Attacks on Implementations of Diffie-Hellman, RSA, DSS, and Other Systems. CRYPTO 1996: 104–113.
(二)      David Brumley and Dan Boneh: Remote timing attacks are practical. USENIX Security Symposium, August 2003.
(三)      Colin Percival: Cache Missing for Fun and Profit, May 13, 2005.
(四)      Martin Reynolds: Prepare for the Threat of Timing Attacks, Gartner Research, ID Number:G00127924, 20 May 2005.

附件一、时序攻击法相关警讯
资料来源：美国 US-CERT 之共通弱点公告（Common Vulnerabilities and Exposures, CVE），网址为 http://cve.m....org。
CVE-2003-0078
Name      CVE-2003-0078
Description      ssl3_get_record in s3_pkt.c for OpenSSL before 0.9.7a and 0.9.6 before 0.9.6i does not perform a MAC computation if an incorrect block cipher padding is used, which causes an information leak (timing discrepancy) that may make it easier to launch cryptographic attacks that rely on distinguishing between padding and MAC verification errors, possibly leading to extraction of the original plaintext, aka the "Vaudenay timing attack."
References      •      CONFIRM:http://www.openssl.org/new...030219.txt
•      BUGTRAQ:20030219 OpenSSL 0.9.7a and 0.9.6i released
•      CONECTIVA:CLSA-2003:570
•      DEBIAN:DSA-253
•      ENGARDE:ESA-20030220-005
•      FREEBSD:FreeBSD-SA-03:02
•      GENTOO:GLSA-200302-10
•      REDHAT:RHSA-2003:062
•      REDHAT:RHSA-2003:063
•      REDHAT:RHSA-2003:082
•      REDHAT:RHSA-2003:104
•      REDHAT:RHSA-2003:205
•      SGI:20030501-01-I
•      TRUSTIX:2003-0005
•      MANDRAKE:MDKSA-2003:020
•      NETBSD:NetBSD-SA2003-001
•      SUSE:SuSE-SA:2003:011
•      BUGTRAQ:20030219 [OpenPKG-SA-2003.013] OpenPKG Security Advisory (openssl)
•      CIAC:N-051
•      BID:6884
•      XF:ssl-cbc-information-leak(11369)
OSVDB:3945



CAN-2003-0147
Name      CAN-2003-0147 (under review)
Description      OpenSSL does not use RSA blinding by default, which allows local and remote attackers to obtain the server's private key by determining factors using timing differences on (1) the number of extra reductions during Montgomery reduction, and (2) the use of different integer multiplication algorithms ("Karatsuba" and normal).
References
•      BUGTRAQ:20030313 Vulnerability in OpenSSL
•      URL:http://marc.theaimsgroup.com/?l=b...6550528628&w=2
•      VULNWATCH:20030313 OpenSSL Private Key Disclosure
•      URL:http://archives.neohapsis.com/archi...03-q1/0130.html
•      CONFIRM:http://www.openssl.org/new...030317.txt
•      BUGTRAQ:20030317 [ADVISORY] Timing Attack on OpenSSL
•      URL:http://marc.theaimsgroup.com/?l=b...2570615648&w=2
•      MISC:http://crypto.stanford.edu/~d...l-timing.pdf
•      CONECTIVA:CLA-2003:625
•      URL:http://distro.conectiva.com.br/atu...&anuncio=000625
•      DEBIAN:DSA-288
•      URL:http://www.debian.org/se...3/dsa-288
•      ENGARDE:ESA-20030320-010
•      FREEBSD:FreeBSD-SA-03:06
•      GENTOO:GLSA-200303-24
•      URL:http://marc.theaimsgroup.com/?l=b...1762028637&w=2
•      GENTOO:GLSA-200303-15
•      URL:http://marc.theaimsgroup.com/?l=b...9040921835&w=2
•      MANDRAKE:MDKSA-2003:035
•      URL:http://www.mandrakesecure.net/en/advisor...ame=MDKSA-2003:035
•      REDHAT:RHSA-2003:101
•      URL:http://www.redhat.com/support/...003-101.html
•      REDHAT:RHSA-2003:102
•      URL:http://www.redhat.com/support/...003-102.html
•      REDHAT:RHSA-2003:205
•      SGI:20030501-01-I
•      URL:ftp://patches.sgi.com/support/free/s...es/20030501-01-I
•      BUGTRAQ:20030320 [OpenPKG-SA-2003.026] OpenPKG Security Advisory (openssl)
•      URL:http://marc.theaimsgroup.com/?l=b...9602408063&w=2
•      CERT-VN:VU#997481
•      URL:http://www.kb.cert.or...d/997481
•      OVAL:OVAL466
•      URL:http://oval.mitre.org/oval/defi.../OVAL466.html

CAN-2003-0190
Name      CAN-2003-0190 (under review)
Description      OpenSSH-portable (OpenSSH) 3.6.1p1 and earlier with PAM support enabled immediately sends an error message when a user does not exist, which allows remote attackers to determine valid usernames via a timing attack.
References
•      BUGTRAQ:20030430 OpenSSH/PAM timing attack allows remote users identification
•      URL:http://marc.theaimsgroup.com/?l=b...2058404810&w=2
•      FULLDISC:20030430 OpenSSH/PAM timing attack allows remote users identification
•      URL:http://lists.grok.org.uk/pipermail/full...April/004815.html
•      MISC:http://lab.mediaservice.net/ad...1-openssh.txt
•      REDHAT:RHSA-2003:222
•      URL:http://www.redhat.com/support/...003-222.html
•      REDHAT:RHSA-2003:224
•      URL:http://www.redhat.com/support/...003-224.html
•      BUGTRAQ:20030806 [OpenPKG-SA-2003.035] OpenPKG Security Advisory (openssh)
•      URL:http://marc.theaimsgroup.com/?l=b...8677302607&w=2
•      TURBO:TLSA-2003-31
•      URL:http://www.turbolinux.com/se...2003-31.txt
•      OVAL:OVAL445
•      URL:http://oval.mitre.org/oval/defi.../OVAL445.html


CAN-2004-1602
Name      CAN-2004-1602 (under review)
Description      ProFTPD 1.2.x, including 1.2.8 and 1.2.10, responds in a different amount of time when a given username exists, which allows remote attackers to identify valid usernames by timing the server response
References
•      BUGTRAQ:20041015 ProFTPD 1.2.x remote users enumeration bug
•      URL:http://marc.theaimsgroup.com/?l=b...6760926133&w=2
•      MISC:http://security.lss.hr/index.php?p...LSS-2004-10-02
•      BID:11430
•      URL:http://www.securityfo...id/11430
•      SECTRACK:1011687
•      URL:http://securitytracke...?1011687
•      XF:proftpd-info-disclosure(17724)
•      URL:http://xforce.iss.net/...db/17724

CAN-2005-0109
Name      CAN-2004-0109 (under review)
Description      Hyper-Threading technology, as used in FreeBSD other operating systems and implemented on Intel Pentium and other processors, allows local users to use a malicious thread to create covert channels, monitor the execution of other threads, and obtain sensitive information such as cryptographic keys, via a timing attack on memory cache misses.
References
•      MISC:http://www.daemonology....s/htt.pdf
•      MISC:http://www.daemonology.net/hypert...dered-harmful/
•      MLIST:[openbsd-misc] 20050304 Re: FreeBSD hiding security stuff
•      URL:http://marc.theaimsgroup.com/?l=ope...95101417256&w=2
•      MLIST:[freebsd-security] 20050304 [Fwd: Re: FW:FreeBSD hiding security stuff]
•      URL:http://marc.theaimsgroup.com/?l=freeb...994370429609&w=2
•      MLIST:[freebsd-hackers] 20050304 Re: FW:FreeBSD hiding security stuff
•      URL:http://marc.theaimsgroup.com/?l=freeb...994026421858&w=2
•      FREEBSD:FreeBSD-SA-05:09
•      SCO:SCOSA-2005.24
•      URL:ftp://ftp.sco.com/pub/updates/UnixWar...COSA-2005.24.txt
•      SUNALERT:101739
•      URL:http://sunsolve.sun.com/search/docu...y=1-26-101739-1
•      CERT-VN:VU#911878
•      URL:http://www.kb.cert.or...d/911878
•      BID:12724
•      URL:http://www.securityfo...id/12724
•      FRSIRT:ADV-2005-0540
•      URL:http://www.frsirt.com/engli...s/2005/0540
•      SECTRACK:1013967
•      URL:http://securitytracke...?1013967

CAN-2005-1797
Name      CAN-2005-1797 (under review)
Description      The design of Advanced Encryption Standard (AES), aka Rijndael, allows remote attackers to recover AES keys via timing attacks on S-box lookups, which are difficult to perform in constant time in AES implementations.
References
•      MISC:http://cr.yp.to/antiforgery/...20050414.pdf
•      BID:13785
•      URL:http://www.securityfo...id/13785

这是一项很好的资料耶

不错哦

感谢大大分享
希望以后有这方面资讯也能提供