Атака по времени
Что такое Атака по времени?
Атака по времениАтака по стороннему каналу, восстанавливающая секрет, измеряя длительность операции при разных входах.
Тайминговые атаки эксплуатируют зависимое от входа время выполнения в криптографическом и аутентификационном коде. Классические цели — сравнения строк не в постоянное время (раннее несовпадение байта обрывает сравнение и выдаёт прогресс), модульная экспонента (square-and-multiply, утечкой раскрывающая биты ключа), табличные поиски AES, запросы к БД, длительность которых зависит от существования строки. Даже мизерные различия — наносекунды по сети, микросекунды локально — усиливаются усреднением многократных измерений. Защита требует реализаций с постоянным временем (HMAC-подобные сравнения, бесветочные условные пересылки), примитивов вроде crypto_constant_time_eq, тщательного аудита криптобиблиотек и ограничения частоты или джиттера на границе, где может измерять атакующий.
● Примеры
- 01
Атака Кохера (1996) на RSA через анализ времени.
- 02
Lucky Thirteen (CVE-2013-0169): тайминговая атака на CBC-паддинг TLS.
● Частые вопросы
Что такое Атака по времени?
Атака по стороннему каналу, восстанавливающая секрет, измеряя длительность операции при разных входах. Относится к категории Уязвимости в кибербезопасности.
Что означает Атака по времени?
Атака по стороннему каналу, восстанавливающая секрет, измеряя длительность операции при разных входах.
Как защититься от Атака по времени?
Защита от Атака по времени обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Атака по времени?
Распространённые альтернативные названия: Тайминговый канал.