Timing-Angriff
Was ist Timing-Angriff?
Timing-AngriffSeitenkanalangriff, der geheime Informationen aus der Laufzeit einer Operation bei unterschiedlichen Eingaben rekonstruiert.
Timing-Angriffe nutzen eingabeabhängige Ausführungszeiten in kryptografischem und Authentifizierungs-Code. Klassische Ziele sind nicht zeit-konstante String-Vergleiche (frühe Abweichungen kürzen ab und verraten den Fortschritt), modulare Exponentiation (Square-and-Multiply leakt Schlüsselbits), AES-Tabellenlookups und Datenbankabfragen, deren Dauer von Existenz einer Zeile abhängt. Selbst kleinste Unterschiede – Nanosekunden über das Netz, Mikrosekunden lokal – lassen sich durch Mittelung vieler Messungen verstärken. Verteidigung erfordert konstante Laufzeit (HMAC-artige Vergleiche, branch-freie Conditional Moves), Primitiven wie crypto_constant_time_eq, gründliche Audits kryptografischer Bibliotheken und Rate-Limiting bzw. Jitter an der messbaren Grenze.
● Beispiele
- 01
Kochers Angriff (1996) gegen RSA-Blinding per Timing-Analyse.
- 02
Lucky Thirteen (CVE-2013-0169) – Timing-Angriff auf TLS-CBC-Padding.
● Häufige Fragen
Was ist Timing-Angriff?
Seitenkanalangriff, der geheime Informationen aus der Laufzeit einer Operation bei unterschiedlichen Eingaben rekonstruiert. Es gehört zur Kategorie Schwachstellen der Cybersicherheit.
Was bedeutet Timing-Angriff?
Seitenkanalangriff, der geheime Informationen aus der Laufzeit einer Operation bei unterschiedlichen Eingaben rekonstruiert.
Wie schützt man sich gegen Timing-Angriff?
Schutzmaßnahmen gegen Timing-Angriff kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Timing-Angriff?
Übliche alternative Bezeichnungen: Timing-Seitenkanal.