Le déchiffrement d'une implémentation OpenSSL d'AES-256 est réalisable en quelques secondes
Et avec un équipement peu coûteux

Le , par Patrick Ruiz, Chroniqueur Actualités
Les chercheurs en sécurité de Fox-IT, une entreprise spécialisée dans la mise au point de systèmes protégés contre les attaques par canal auxiliaire, viennent de publier la preuve de concept d’une attaque par canal caché d’un système chiffré avec l’algorithme AES-256. Leur système se veut être une alternative aux autres mettant en œuvre des attaques par canal auxiliaire avec du matériel très coûteux.


Les chercheurs de Fox-IT se sont servis d’une antenne cadre couplée à un filtre passe-bande et à un amplificateur. Le signal obtenu de cet ensemble a servi à alimenter une radio logicielle sur un dongle USB utilisé pour le transfert des données vers le PC utilisé dans le cadre des travaux. L’ensemble antenne, filtre, amplificateur et radio logicielle peut être obtenu sur Internet pour la somme de 200 €, le module radio logicielle étant celui qui, choisi dans le haut de gamme, peut faire grimper le coût total.

Cet ensemble a servi à mesurer les variations de la puissance du rayonnement électromagnétique émis par le bus liant le processeur d’une carte FPGA SmartFusion2 – faisant tourner une implémentation OpenSSL de l’algorithme de chiffrement AES-256 – et sa mémoire vive. Le plus dur pour les chercheurs a été, comme ils l’ont précisé, d’exploiter la relation entre les données chiffrées objet de l’investigation et les variations de puissance mesurées pour établir le meilleur modèle de prédiction.

Le modèle de prédiction mis en place par ces derniers s’inspire assez d’une attaque par force brute. La différence dans leur cas est que la recherche porte sur un octet de la clé de chiffrement à la fois, ce qui limite la recherche à 256 cas. Le processus est répété pour chacun des octets constitutifs de la clé de chiffrement recherchée.

En procédant ainsi, il faut explorer au total 8192 cas au terme desquels la clé de chiffrement est retrouvée. Il faudrait noter qu’une attaque par force brute classique requiert l’exploration de 2256 cas, une infinité en comparaison de celui obtenu avec leur méthode. Les chercheurs affirment que la recherche de la clé avec leur méthode a nécessité cinq minutes à une distance de un mètre, durée qui pourrait chuter à 50 secondes si la mesure est effectuée à 30 cm de la carte SmartFusion2.

Petites précisions additionnelles cependant, les mesures ont été effectuées dans un environnement exempt de radiations électromagnétiques de puissance aussi importante que celles qui sont générées par le bus liant le processeur de la carte SmartFusion2 et sa mémoire vive, toutes choses qui seraient de nature à introduire des perturbations que le modèle de prédiction mis en place ne saurait gérer efficacement.

Il est donc clair que ce système demande des améliorations pour donner de bons résultats dans des environnements plus exigeants. On notera néanmoins que l’intérêt ici réside dans la possibilité de lancer une attaque contre un système utilisant l’algorithme de chiffrement AES-256 à moindre coût.

Source : Publication Fox-IT (PDF)

Et vous ?

Qu’en pensez-vous ?

La méthode utilisée pourrait-elle permettre d’obtenir de bons résultats sur une implémentation matérielle d’AES-256 ?

Voir aussi :

Le chiffrement AES cracké par des chercheurs français, belges et de Microsoft : la méthode reste très complexe


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de transgohan transgohan - Expert confirmé https://www.developpez.com
le 28/06/2017 à 19:17
Le POC est assez intéressant.
Avatar de htoukour htoukour - Membre du Club https://www.developpez.com
le 29/06/2017 à 9:55
Temps de passer a AES-512 ou Dragon-1024
Avatar de Damoy Damoy - Candidat au Club https://www.developpez.com
le 29/06/2017 à 13:10
Leur système se veut être une alternative aux autres mettant en œuvre des attaques par canal auxiliaire avec du matériel très coûteux.

Très ou très peu coûteux ?
Avatar de gangsoleil gangsoleil - Modérateur https://www.developpez.com
le 29/06/2017 à 13:34
Citation Envoyé par Damoy Voir le message
Leur système se veut être une alternative aux autres mettant en œuvre des attaques par canal auxiliaire avec du matériel très coûteux.

Très ou très peu coûteux ?
Très, justement : ici, pour 200$, tu as un système qui fonctionne -- du moins en théorie -- alors que la plupart des autres attaques utilisent du matériel très coûteux.
Avatar de transgohan transgohan - Expert confirmé https://www.developpez.com
le 29/06/2017 à 13:58
Ah le Français.
Rajoutons des virgules et on change le sens de la phrase.

Ce qu'a compris Damoy :
Leur système se veut être une alternative aux autres, mettant en œuvre des attaques par canal auxiliaire, avec du matériel très coûteux.
Ce qu'a compris gangsoleil :
Leur système se veut être une alternative aux autres, mettant en œuvre des attaques par canal auxiliaire avec du matériel très coûteux.
Edit : bien qu'en fait la seconde peut être aussi interprété comme telle au final...
Avatar de philou44300 philou44300 - Membre habitué https://www.developpez.com
le 30/06/2017 à 12:57
Nul doute que si c'est réalisable cela va intéresser des gouvernements.

Par contre, ce que je comprends pas c'est que si je chiffre mon disque dur ou un fichier avec AES-256, il serait donc possible de découvrir la clé rapidement avec cette technique et de déchiffrer le fichier ou le disque ou pas?

Si c'est le cas alors AES-256 ne devrait plus être considéré comme sûr.
Avatar de revedelle revedelle - Nouveau membre du Club https://www.developpez.com
le 03/07/2017 à 9:48
Pour l'instant la méthode est quand même très théorique (un environnement totalement sans radiation n'est possible qu'en laboratoire)
Et le plus gros problème n'est pas l'algorithme de chiffrement ici, car la méthode pourrait être adaptée à n'importe quel algorithme (la ils ont fait avec AES 256 car c'est le plus sur actuellement)
Le plus gros problème est, si il arrive a vraiment exploiter leur méthode en condition réelle, qu'il peuvent potentiellement casser n'importe quel algorithme cryptographique exécuté sur ce type de processeur
Une solution consisterait à rallonger la clé (mais pas de 256 a 512 mais genre de 256 a 256M ) le problème étant qu'après cela alourdit (pour pas dire rend impossible) les traitements

Enfin si j'ai bien tout compris n'hésitez pas a me dire si je raconte n'importe quoi
Avatar de shenron666 shenron666 - Expert confirmé https://www.developpez.com
le 06/07/2017 à 17:35
Est-ce que vous avez au moins relevé ce point ? :
Citation Envoyé par Patrick Ruiz Voir le message
Les chercheurs affirment que la recherche de la clé avec leur méthode a nécessité cinq minutes à une distance de un mètre, durée qui pourrait chuter à 50 secondes si la mesure est effectuée à 30 cm de la carte SmartFusion2.
Une distance de 1 mètre en environnement sain, ce qui 'est pas le cas de la réalité.
Quid de la mise en oeuvre en condition normale de la méthode ?
Avatar de hoshantm hoshantm - Futur Membre du Club https://www.developpez.com
le 06/07/2017 à 21:19
Puisque les émissions électromagnétiques sont exploités, il suffit donc d'utiliser des moyens pour brouiller ces émissions où d'avoir de le system dans une cage en metal de sorte de minimiser les émissions. A mon avis, ce genre d'attaque reste théorique sauf dans le cas d'attaque contre les puces telles que celles des téléphones portables.
Avatar de Vinchenzo.939 Vinchenzo.939 - Membre régulier https://www.developpez.com
le 07/07/2017 à 11:02
c'est quand meme plus impressionnant que les travaux d'espionnage d'imprimante restée ouverte
Offres d'emploi IT
Ingénieur études et développement java H/F
BMarkets - Ile de France - Paris (75008)
Consultant / expert produit h/f
Ivalua - Ile de France - Orsay (91400)
Ingénieur réseaux (h/f)
Atos - Midi Pyrénées - Toulouse (31000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil