Sicherheit & Verschlüsselung - Auslesen des Schlüssels durch Berühren des Rechners möglich

Auf der Crypto 2014 führten israelische Sicherheitsexperten vor, wie der Key für Entschlüsselungen durch Berühren des Rechners ausgelesen werden kann.

von Georg Wieselsberger,
25.08.2014 14:49 Uhr

Das Auslesen von Keys ist durch Berührung eines Rechners möglich. (Bildquelle: Universität Tel Aviv)Das Auslesen von Keys ist durch Berührung eines Rechners möglich. (Bildquelle: Universität Tel Aviv)

Auf der Sicherheitskonferenz Crypto 2014 in Santa Barbara, Kalifornien, führten israelische Experten vor, wie schon das Berühren eines Rechners ausreichen kann, um den darauf verwendeten Key für Verschlüsselungen auszulesen. Arbeitet der Prozessor des Rechners gerade daran, Daten zu ver- und entschlüsseln, so gibt es Schwankungen im Erdungspotential des Rechners, die gemessen werden können. Bei bestimmten Anwendungen zur Verschlüsselung treten dabei erkennbare Muster auf, die das Team der Universität von Tel Aviv speichern und mit einer speziellen Software analysieren kann.

Für die Messungen des schwankenden Potentials reicht schon die Berührung des Laptops mit einem blanken Kabel oder auch mit der Hand und einem damit verbundenen Messgerät aus. Denkbar sind auch Messungen am Ende eines angeschlossenen USB- oder Netzwerkkabels. Wichtig ist dabei nur, dass die Messungen vorgenommen werden, wenn der Rechner gerade Daten entschlüsselt. Laut dem Sicherheitsexperten Eron Tromer konnten auf diese Weise auch für sehr sicher geltende Schlüssel ausgelesen werden.

Die Forscher weisen mit der neuen Methode erneut darauf hin, dass es unabhängig von der genutzten Softwareverschlüsselung auch immer indirekte Wege gibt, um Daten von einem Rechner zu erhalten. Diese sogenannten »Side-Channel«-Angriffe können beispielsweise auch den Stromverbrauch des Rechners oder sogar durch den Prozessor abgestrahlte Frequenzen für das Extrahieren von Daten verwenden, wie das gleiche Team schon in der Vergangenheit gezeigt hatte. Es gibt aber auch Abwehrmethoden, an denen die Forscher ebenfalls arbeiten und diese Entwicklern von Verschlüsselungssoftware zur Verfügung stellen. Führt der Rechner beispielsweise neben der Verschlüsselung gleichzeitig andere zufällige Berechnungen mit hoher Last aus, sollte das Signal der Schlüssel in den zusätzlichen Schwankungen untergehen.


Kommentare(27)

Nur angemeldete Benutzer können kommentieren und bewerten.