时间攻击

Q: 时间攻击 是什么?

通过测量同一操作在不同输入下的耗时来恢复机密信息的侧信道攻击。 它属于网络安全的 漏洞 分类。

Q: 如何防御 时间攻击?

针对 时间攻击 的防御通常结合技术控制与运营实践,详见上方完整定义。

Q: 时间攻击 还有哪些其他名称?

常见的别称包括: 计时旁路。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

时间攻击是什么?

时间攻击通过测量同一操作在不同输入下的耗时来恢复机密信息的侧信道攻击。

时间攻击利用密码学与认证代码中与输入相关的执行时间差。典型目标包括非常数时间字符串比较(早期不匹配的字节会提前结束并暴露进度)、模幂运算(square-and-multiply 泄露密钥比特)、AES 查表操作、以及响应时间取决于记录是否存在的数据库查询。即便是网络上几纳秒、本地几微秒的微小差异,经过多次测量平均后也能放大可观。防御措施需要常数时间实现(HMAC 风格比较、无分支条件移动)、像 crypto_constant_time_eq 这样的库原语、对加密库的细致审计,以及在攻击者可观测的边界上加入速率限制或抖动。

● 示例

01
Kocher 1996 年通过计时分析攻击 RSA 的盲化实现。
02
Lucky Thirteen(CVE-2013-0169):针对 TLS CBC 填充的计时攻击。

● 常见问题

时间攻击是什么?

通过测量同一操作在不同输入下的耗时来恢复机密信息的侧信道攻击。它属于网络安全的漏洞分类。

时间攻击是什么意思?

通过测量同一操作在不同输入下的耗时来恢复机密信息的侧信道攻击。

如何防御时间攻击?

针对时间攻击的防御通常结合技术控制与运营实践,详见上方完整定义。

时间攻击还有哪些其他名称?

常见的别称包括: 计时旁路。

时间攻击

时间攻击是什么?

● 示例

● 常见问题

● 相关术语

● 另见

时间攻击 是什么?

● 示例

● 常见问题

● 相关术语

● 另见

时间攻击是什么?