Handy erlauscht RSA-Schlüssel

Führt ein Rechner Krypto-Operationen aus, kann man über seine Betriebsgeräusche auf den eingesetzten, geheimen RSA-Schlüssel schließen. Die Grundlagen dieses Sidechannel-Angriffs haben die Krypto-Experten Eran Tromer und Adi Shamir bereits vor fast zehn Jahren demonstriert. Gemeinsam mit Daniel Genkin haben die beiden ihr Verfahren in der Zwischenzeit weiter verbessert. Nun sind sie dazu in der Lage, aus den Geräuschen den geheimen Krypto-Schlüssel zu extrahieren. Ferner können die Forscher nun größere Distanzen überbrücken und kommen mit weniger empfindlichen Mikrofonen aus.

Laut den Forschen reicht ein handelsübliches Smartphone aus, das man neben dem arbeitenden Rechner platziert. Mit empfindlichen Richtmikrofonen sollen sich sogar Distanzen von bis zu vier Metern überbrücken lassen. Damit wird der Angriff zur realen Gefahr. 2004 konnten die Forscher gerade einmal eine Distanz von 20 Zentimetern überbrücken – und das auch nur bei geöffnetem Gehäuse.

Die relevanten Geräusche entstehen durch die Vibrationen elektronischer Bauteile wie etwa Kondensatoren oder Spulen. Dadurch kann man auf den Stromverbrauch der CPU schließen, der stark davon abhängt, welche Operationen gerade durchgeführt werden. Bei nahezu allen Rechnern kann man laut den Forschern den Idle-Modus der CPU erkennen ("HLT"), oft ist es darüber hinaus sogar möglich, das laufende Programme zu identifizieren.

Besonders intensiv haben sich die Forscher mit GnuPG beschäftigt; mit dem Ergebnis, dass es sogar gelang, RSA-Schlüssel mit einer Länge von 4096 Bit zu erlauschen. Dafür muss man GnuPG dazu bringen, einen bestimmten Text zu dechiffrieren – etwa, indem man an das Opfer in spe eine Krypto-Mail schickt, die dann von Thunderbird mit Enigmail-Addon entschlüsselt wird.

Die interessanten Frequenzen liegen oberhalb von 10 KHz, weshalb sich etwa Lüfterlärm auf niedrigeren Frequenzen gut herausfiltern lässt. Sind mehrere Rechner in Hörweite, soll man sogar das Signal eines einzelnen isolieren können – durch die individuelle Zusammenstellung der Hardware und die Betriebstemperatur klingt jeder anders.

Für Umgebungen, die zu verrauscht sind, haben die Forscher eine weiteren Seitenkanal entdeckt, über den man an auf die Arbeit der CPU schließen kann, nämlich die elektrische Spannung eines Laptop-Gehäuses relativ zur Erde. Diese schwankt, woraus man bei vielen Rechnern ein geeignetes Signal extrahieren können soll. Der Angreifer muss dazu das Gehäuse berühren. Alternativ soll man die Spannung auch durch ein Kabel bestimmten könnten, das mit Rechner verbunden ist; etwa ein VGA- oder Netzwerkkabel. Ein anderer Weg ist, die Stromaufnahme des Netzteils zu messen.

Die Signale hardwareseitig zu vermeiden, ist aufwendig und kostspielig. Stattdessen schlagen die drei Forscher Änderungen an der Software vor. Dabei geht es vor allem darum, das Verhalten der Programme so zu ändern, dass man anhand der ausgesandten Signale nicht mehr auf die Eingabewerte schließen kann.

Geeignete Maßnahmen haben die Forscher auch dem GnuPG-Entwicklerteam vorgeschlagen, die bereits die Version 1.4.16 veröffentlicht haben bei der man den RSA-Schlüssel nicht mehr "erlauschen" können soll. Was allerdings weiterhin funktioniert, ist, dass man anhand der Betriebsgeräusche herausfinden kann, welcher Schlüssel gerade eingesetzt wird. Dafür ist laut den GnuPG-Entwicklern noch keine Lösung in Software bekannt. (rei)