KUNGFU TECH

0
0
Lập trình
Admin Team
Admin Teamtechmely

Tấn công Thời gian và Giải pháp — Hướng dẫn Chi tiết

Đăng vào 1 tháng trước

• 12 phút đọc

Chủ đề:

#security#refactoring#codereview#timingattacks

Tóm tắt. Tấn công thời gian là một loại tấn công kênh bên, khai thác sự biến đổi trong thời gian thực hiện để suy luận ra bí mật. Đơn giản về khái niệm nhưng tinh vi trong thực tiễn, chúng ảnh hưởng đến hệ thống từ ứng dụng web đến thiết bị nhúng. Bài viết này giải thích cách thức các kênh thời gian xuất hiện, cung cấp các ví dụ cụ thể (bao gồm so sánh mã hóa và xác thực qua mạng), khám phá các kỹ thuật đo lường và khai thác, và đưa ra các biện pháp khắc phục thực tiễn có thể triển khai — cả ở mức mã nguồn và kiến trúc — để bạn có thể thiết kế các hệ thống chống lại việc rò rỉ thông tin dựa trên thời gian.

1. Tấn công thời gian là gì?

Tấn công thời gian là một loại tấn công kênh bên, trong đó kẻ tấn công quan sát thời gian một hoạt động diễn ra và sử dụng thông tin đó để suy luận dữ liệu bí mật. Ý tưởng cốt lõi: thời gian thực hiện của nhiều thuật toán phụ thuộc vào giá trị đầu vào. Nếu các đầu vào đó bao gồm thông tin bí mật (mật khẩu, MAC, khóa, hash), một kẻ tấn công có thể đo lường độ trễ một cách chính xác có thể dần dần khôi phục các bí mật bằng cách tương quan sự khác biệt về thời gian với các đầu vào được đoán.

Tấn công thời gian không phải là một kỹ thuật đơn lẻ mà là một gia đình: chúng bao gồm các rò rỉ ngắn mạch phần mềm đơn giản, các kênh vi kiến trúc (bộ nhớ đệm, dự đoán nhánh), các cuộc tấn công đo lường ở mức mạng, và thậm chí là các phép đo vật lý (điện năng, EM). Sợi dây liên kết chung là thời gian như một yếu tố quan sát.

2. Nguồn gốc của các rò rỉ thời gian

  • So sánh ngắn mạch. Nhiều ngôn ngữ triển khai kiểm tra sự bình đẳng dừng lại ở byte khác biệt đầu tiên. Việc so sánh byte-wise == trên các token xác thực có thể rò rỉ số byte tiền tố khớp nhau.
  • Nhánh dựa trên dữ liệu bí mật. Nếu mã nhánh phụ thuộc vào các bit bí mật, con đường thời gian sẽ khác nhau.
  • Trả về sớm. Các hàm trả về sớm trên các đầu vào không hợp lệ thường mất ít thời gian cho các đầu vào xấu hơn là cho các đầu vào tốt.
  • Phép toán thời gian biến đổi. Một số thư viện số lớn hoặc mã hóa sử dụng phép nhân hoặc lũy thừa thời gian biến đổi nếu không được chỉ định rõ là thời gian không đổi.
  • Mẫu truy cập bộ nhớ / bộ đệm. Truy cập các vị trí bộ nhớ khác nhau tùy thuộc vào các giá trị bí mật thay đổi trạng thái bộ nhớ đệm; các phép đo tiếp theo (thăm dò bộ đệm) sẽ tiết lộ bí mật.
  • Trạng thái vi kiến trúc (thực thi suy đoán). Các kênh bên thông qua thực thi suy đoán hoặc dự đoán nhánh (loại Meltdown/Spectre) rò rỉ bí mật qua thời gian.
  • Các ngăn xếp mạng và bộ đệm I/O. Chia gói và bộ đệm có thể tạo ra các phụ thuộc về thời gian có thể quan sát qua mạng.
  • Kênh bên vật lý. Mức tiêu thụ điện và bức xạ EM tương quan với các hoạt động và có thể được chuyển đổi thành các phép đo giống như thời gian.

3. Ví dụ cụ thể: so sánh các hàm băm

Xem xét một hàm verify_firmware mà tính toán SHA-256 và so sánh với một băm mong đợi bằng cách sử dụng ==. Các ngôn ngữ cấp cao thường thực hiện việc so sánh từng byte, dừng lại ở sự khác biệt đầu tiên. Nếu một kẻ tấn công có thể liên tục gửi các băm đoán và đo lường thời gian phản hồi (hoặc suy luận thời gian qua các kênh bên điện năng/EM), họ có thể phát hiện ra băm chính xác từng byte một. Cuộc tấn công rất đơn giản:

  • Đoán byte 0. Gửi g0 || random_rest. Đo thời gian.
  • Nếu thời gian lâu hơn, có thể byte 0 khớp; thử tất cả 256 giá trị để tìm giá trị tối đa hóa thời gian.
  • Lặp lại cho byte 1, v.v.

Ngay cả khi có tiếng ồn trong mỗi lần thử (rung lắc mạng, lập lịch), các kỹ thuật thống kê và nhiều truy vấn hơn vượt qua tiếng ồn.

4. Mô hình đe dọa: Khi nào tấn công thời gian có ý nghĩa?

Tấn công thời gian không phải lúc nào cũng có liên quan. Đánh giá các yếu tố này:

  • Bí mật có thật sự bí mật không? Nếu băm mong đợi là công khai (băm đã công bố cho firmware), thì không có bí mật nào để rò rỉ. Nhưng nếu băm được lưu trữ trong phần cứng chống giả mạo hoặc token xác thực, việc rò rỉ thời gian là rất quan trọng.
  • Kẻ tấn công có thể đo thời gian một cách chính xác không? Qua một kênh cục bộ, có. Qua mạng, có thể — các cuộc tấn công hiện đại thành công qua các API web có mạng nếu nhiều thăm dò và thống kê cẩn thận được sử dụng.
  • Kẻ tấn công có thể truy vấn nhiều lần không? Tấn công brute force yêu cầu nhiều thăm dò. Giới hạn tỷ lệ và điều chỉnh giúp ích.
  • Có các kênh bên khác không? Truy cập vật lý hoặc các đồng cư (trong đám mây) có thể cho phép các tấn công thời gian vi kiến trúc chính xác hơn.
  • Nếu hệ thống của bạn xử lý bí mật và có thể bị thăm dò từ các đầu vào có thể bị kiểm soát bởi kẻ tấn công, hãy giả định rằng các cuộc tấn công thời gian là có thể và thực hiện các biện pháp giảm thiểu.

5. Biện pháp khắc phục thực tiễn — cấp cao

Các chiến lược giảm thiểu có thể được nhóm lại: mã thời gian không đổi, tăng cường & cách ly, và các kiểm soát kiến trúc.

5.1 Hoạt động thời gian không đổi

Sử dụng các thư viện và nguyên tắc mà rõ ràng là thời gian không đổi (CT). Đối với các so sánh bằng nhau, sử dụng các hàm so sánh thời gian không đổi (ví dụ: crypto_verify, subtle::ConstantTimeEq trong Rust, CRYPTO_memcmp trong OpenSSL).

Tránh các nhánh phụ thuộc vào dữ liệu khi xử lý bí mật. Thay thế nếu secret[i] == guess bằng các chuỗi số học hoặc bitwise luôn thực hiện cùng một con đường mã.

Đối với các thuật toán mã hóa, sử dụng các triển khai đã được kiểm tra cho hành vi thời gian không đổi.

5.2 Giảm khả năng quan sát của kẻ tấn công

Giới hạn tỷ lệ truy vấn (điều chỉnh) và thêm độ nhiễu vào phản hồi để giảm độ chính xác về thời gian — nhưng hãy cẩn thận: độ nhiễu thêm vào nhưng không bảo vệ thực sự; một kẻ tấn công có quyết tâm thường sẽ trung bình hóa tiếng ồn.

Không tiết lộ các sự khác biệt phản hồi tinh vi (mã trạng thái HTTP, các thông báo lỗi khác nhau) tương quan với các kiểm tra bí mật; trả về lỗi đồng nhất.

Sử dụng các kỹ thuật che mờ cho các giao thức mã hóa (che mờ lũy thừa) để ngẫu nhiên hóa thời gian.

5.3 Kiểm soát kiến trúc & hệ thống

Chạy mã nhạy cảm trên phần cứng cách ly (khối bảo mật, TPM, HSM) nơi việc đo lường bên ngoài khó khăn hơn.

Sử dụng xác minh thời gian không đổi bên trong ranh giới đáng tin cậy, sau đó chỉ phát hành các kết quả không đổi, giới hạn tỷ lệ ra bên ngoài.

Đối với các tenant đám mây, tránh đặt các tải công việc nhạy cảm cùng với mã không đáng tin cậy có thể khai thác các kênh vi kiến trúc.

5.4 Phát hiện & ghi log

Theo dõi các phân phối thời gian và mẫu thăm dò bất thường. Các yêu cầu lặp lại đột ngột với phân tích thời gian thống kê gợi ý một cuộc tấn công.

Ghi log và điều chỉnh khách hàng đáng ngờ; nâng cao khi phát hiện các mẫu tấn công.

6. Các mẫu mã & thành ngữ

6.1 Cấm: so sánh bằng nhau ngây thơ

rust Copy 
// XẤU: sự bình đẳng thời gian biến đổi (ngắn mạch)
if a == b { accept(); } else { reject(); }

6.2 Được ưa chuộng: so sánh bằng nhau thời gian không đổi

Ví dụ Rust sử dụng subtle:

rust Copy 
use subtle::ConstantTimeEq;

fn const_time_eq(a: &[u8], b: &[u8]) -> bool {
    if a.len() != b.len() { return false; }
    a.ct_eq(b).into()
}

Ví dụ C sử dụng OpenSSL:

c Copy 
// CRYPTO_memcmp là thời gian không đổi
if (CRYPTO_memcmp(a, b, len) == 0) accept();
else reject();

6.3 So sánh chuỗi thời gian không đổi (thủ công)

Nếu bạn phải tự tay chế tạo:

c Copy 
int ct_cmp(const uint8_t *a, const uint8_t *b, size_t len) {
    uint8_t diff = 0;
    for (size_t i = 0; i < len; i++) {
        diff |= a[i] ^ b[i];
    }
    return diff == 0;
}

6.4 Cẩn thận với tối ưu hóa của trình biên dịch

Các trình biên dịch có thể biến đổi mã và tái giới thiệu các nhánh hoặc tối ưu hóa khiến mã có thời gian biến đổi. Sử dụng các nguyên tắc thư viện được thiết kế để có thời gian không đổi và được đánh dấu là volatile hoặc sử dụng assembly nếu cần. Luôn kiểm tra với các công cụ phân tích thời gian không đổi.

7. Các cuộc tấn công vi kiến trúc: bộ nhớ đệm, dự đoán nhánh, thực thi suy đoán

Các rò rỉ thời gian cũng phát sinh từ hành vi CPU cấp thấp:

  • Các cuộc tấn công bộ nhớ đệm (Prime+Probe, Flush+Reload). Một kẻ tấn công cực đoan bộ nhớ đệm, cho phép nạn nhân thực hiện, sau đó đo lường các dòng nào đã bị loại bỏ; thời gian tiết lộ các mẫu truy cập bộ nhớ.
  • Thực thi suy đoán (Spectre). Thực thi suy đoán được dự đoán sai chạm vào dữ liệu để lại các dấu vết vi kiến trúc, sau đó được đo lường qua thời gian bộ nhớ đệm.
  • Các cuộc tấn công dự đoán nhánh. Lịch sử nhánh rò rỉ có thể bị lợi dụng trên các ngữ cảnh khác nhau trên một số CPU.

Biện pháp khắc phục:

  • Sử dụng các thuật toán thời gian không đổi tránh các truy cập bộ nhớ phụ thuộc vào bí mật.
  • Sử dụng các biện pháp giảm thiểu phần mềm/bảo vệ cho Spectre (retpoline, LFENCE), các bản vá vi mã và các biện pháp giảm thiểu trình biên dịch.
  • Phân vùng các bộ nhớ đệm hoặc sử dụng flush-on-context-switch khi được hỗ trợ.

8. Đo lường các cuộc tấn công thời gian (cách kẻ tấn công và người bảo vệ kiểm tra)

8.1 Đối với kẻ tấn công

  • Số lượng mẫu lớn và trung bình thống kê để giảm tiếng ồn.
  • Các thăm dò thích nghi: chọn giá trị byte tối đa hóa sự khác biệt về thời gian quan sát.
  • Các kênh bên khác ngoài độ trễ mạng — thời gian cục bộ (nếu đồng cư), điện năng/EM thăm dò.

8.2 Đối với người bảo vệ

  • Thực hiện microbenchmark mã của bạn với rdtsc (trên x86) hoặc bộ đếm thời gian nền tảng để phát hiện thời gian phụ thuộc vào dữ liệu.
  • Sử dụng các khung kiểm tra thời gian không đổi (ví dụ: ctgrind, các công cụ phân tích kênh bên).
  • Fuzz với các đầu vào đối kháng và đo lường sự biến thiên.

9. Nghiên cứu trường hợp & bài học rút ra

So sánh mật khẩu: Nhiều ứng dụng web trước đây sử dụng strcmp để kiểm tra mật khẩu, rò rỉ thời gian và cho phép khôi phục một phần. Thay thế bằng so sánh thời gian không đổi đã ngăn chặn sự rò rỉ.

Xác minh HMAC: Các lỗ hổng so sánh HMAC không hợp lệ đã cho phép khôi phục khóa MAC từ xa trong các API web sớm; sử dụng hash_equals / các thủ tục thời gian không đổi đã sửa chữa lớp này.

Các triển khai TLS: Một số thư viện TLS đã sử dụng các thao tác giải mã thời gian biến đổi, dẫn đến các cuộc tấn công kiểu Bleichenbacher; các biện pháp giảm thiểu bao gồm mã hóa thời gian không đổi và che mờ.

Bài học: những lựa chọn mã nhỏ có thể dẫn đến các lỗ hổng thực tế; tư duy thời gian không đổi nên là một phần của đánh giá mã cho mã nhạy cảm.

10. Danh sách kiểm tra thực tiễn cho các nhà phát triển

  • Giả định rằng bí mật là bí mật. Đối xử với bất kỳ kiểm tra nào liên quan đến bí mật như có thể bị khai thác.
  • Sử dụng các nguyên tắc thư viện cho so sánh thời gian không đổi (không tự chế tạo trừ khi bạn biết mình đang làm gì).
  • Tránh các nhánh phụ thuộc vào bí mật trong các đường dẫn quan trọng.
  • Thực hiện kiểm tra thời gian không đổi trong CI cho mã mã hóa.
  • Giới hạn tỷ lệ truy vấn và đồng nhất hóa các thông điệp lỗi trên các điểm cuối xác thực.
  • Triển khai che mờ mã hóa khi thích hợp.
  • Thực hiện các biện pháp giảm thiểu vi kiến trúc cho Spectre/Meltdown như một phần của việc tăng cường nền tảng.
  • Cách ly các tính toán nhạy cảm (HSM, khối bảo mật) nếu có thể.
  • Theo dõi các mẫu thăm dò và nâng cao các bất thường.
  • Tài liệu mô hình đe dọa và lý do cho các biện pháp giảm thiểu đã chọn trong chính sách bảo mật của bạn.

11. Kết luận: đánh đổi và góc nhìn thực tiễn

Mã thời gian không đổi có thể chậm hơn hoặc phức tạp hơn một chút so với các triển khai ngây thơ. Nhưng chi phí hiệu suất thường không đáng kể so với bảo mật đạt được. Một số biện pháp (thêm độ nhiễu, điều chỉnh) có thể đánh đổi hiệu suất để tăng chi phí tấn công nhưng không nên được dựa vào như là biện pháp bảo vệ duy nhất.

Đối với nhiều hệ thống, một cách tiếp cận nhiều lớp là lựa chọn tốt hơn: so sánh thời gian không đổi trong mã + giới hạn tỷ lệ + kiểm toán + cách ly phần cứng. Bắt đầu bằng cách xác định các mặt xử lý bí mật, thay thế các nguyên tắc thời gian biến đổi, và thêm phát hiện/theo dõi. Cuối cùng, bao gồm phân tích thời gian như một phần của đánh giá bảo mật cho bất kỳ tính năng nào xử lý thông tin bí mật.

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào