《每日电讯报》报导,资讯在传送到伺服器之前,电脑会使用RSA演算法的安全密钥为资讯加密,确保安全。不过,当电脑在进行资讯解码时,会产生一组独特的声音,或称中央处理器回路(CPU loops),它就可被黑客用来提取私人资料。
现在,科学家已经能够经由手机麦克风,录下电脑在解密资讯时发出的独特嗡嗡声,鉴定特定资讯与声音的连结后,就能提取资讯,得知信件内容。理论上,这项方法能窃取密码、帐号或其他登入到网页上的资讯。
当资讯被输入到网页上,然后藉由安全伺服器进行传递的过程中,CPU会因为电脑使用RSA运算而产生一串独特的声响。RSA运算使用一个公开的密码,及一个私人的密码,将资讯打包并安全传送。
每一个回路代表一个加密过程的特定步骤,依照资讯被传送或使用的不同,回路也会随之改变。麦克风可录下这些微弱的声音,建立一个RSA的图像。一旦电脑收集到所有4096位元的加密锁钥,它会使用一个称为“锁钥提取”的步骤去攻击提取这些资讯。
整个过程不需要一个小时就能完成,根据研究人员指出,要能有效录下电脑发出的声音,低品质的麦克风需摆在电脑附近,高品质的麦克风则可以摆在距离电脑13尺以外的地方。而麦克风和电脑的距离,甚至可藉由使用雷射麦克风或测振仪(vibrometer)而拉大。
为了进行这项解密实验,研究人员寄出了上千封的加密邮件。电子邮件客户端必须自动解密这些邮件,而不能单独开启任何一封。加密过程所制造的噪音,必须足够清楚到能够识别,而且是由一个特殊的软体称为GnuPG所制造的才行。
研 究人员说,他们并不知道以上任何一个环节改变的话,会对这个过程有多大的影响。他们在一篇“以低频声音安全分析提取RSA密钥”(RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis)的报告中称:“我们描述了一项新的声音安全分析密钥提取攻击,适用于加密软体GnuPG当前的RSA。”GnuPG的开发者 已对一些漏洞进行修正,现在GnuPG最新的版本是1.4.16。
这项黑客攻击,能藉由电脑在加密过程发出的声音,将手提电脑(或其他不同 的装置)完整的4096 bit RSA加密密钥,在一个小时之内提走。该研究报告说:“我们实验性地证实了这项攻击的可行性。无论是藉由摆在电脑旁边的手机麦克风,或是距离电脑4米以外 的敏锐麦克风。”
(责任编辑:张东光)
相关文章:
传黑客袭击大陆央行网站 报复比特币被 12/20/13
Target系统遭入侵 4千万信用卡图 12/20/13
翻墙问答:如何保证Gmail帐户的安 12/13/13
送孩子电子圣诞礼物别忘了网络安全 12/11/13
纽时:中共黑客监控欧洲外交官和G20图 12/11/13
美公司指中国黑客曾攻击欧盟国家电脑 12/10/13
防刺探 微软扩大个资加密 12/5/13
全球200万密码遭窃 脸书雅虎Goo图 12/5/13
北大中文系网遭黑客攻陷 现反共起义字图 11/24/13
推特新增加密技术 专家大夸 11/23/13
家电水壶竟然藏有木马图 11/20/13
捍卫隐私 雅虎誓加密网路服务 11/19/13
美官员:黑客攻击健保网十几次 未得手图 11/15/13
加密档案勒赎金 新恶意软件全球肆虐 11/11/13
美网络安全公司称中国军方黑客仍在活动 11/8/13
保护电邮防监控 美两公司合作开发新工图 11/1/13
反击网络威胁 美拟增扩网军 机遇和挑图 10/27/13
美东时间: 2013-12-26 19:34:13 PM