了解信息安全和數(shù)據(jù)安全的人肯定都知道一些漏洞或者不安全的行為,比如系統(tǒng)的漏洞、軟件的漏洞,不規(guī)范的上網(wǎng)行為,盲目點(diǎn)擊“誘惑”鏈接等。這些我們都可以統(tǒng)稱為信息設(shè)備或者威脅信息安全的不安全因素。但是以上提到的威脅和隱患都是可以預(yù)見和料想到的,但凡事都會有出人意料的地方。在信息設(shè)備的安全領(lǐng)域,一個打死也想不到的地方竟然成為了數(shù)據(jù)泄密的缺口。到底是哪里呢?它又帶來了怎樣的安全危機(jī)?解決之法又是什么呢?
信息安全上演核心危機(jī)——CPU竟成安全隱患
安全研究人員已經(jīng)成功破譯了一組最安全的加密算法4096—bit RSA ,他們用一個麥克風(fēng)偵聽并破解了一些被加密的數(shù)據(jù)。這次進(jìn)攻利用了基本的硬件工具,過程相當(dāng)簡單。
Rammstein是一種聲學(xué)密碼分析方式,由Daniel Genkin、Adi Shamir(參與發(fā)明了RSA加密算法)以及Eran Tromer共同發(fā)明,他們使用了所謂的邊信道攻擊。邊信道是一種非直接和非常規(guī)的攻擊載體,因而沒有受到應(yīng)有的保護(hù)。例如,用戶的手機(jī)密碼阻止了黑客的直接攻擊,但是如果黑客可以通過查看屏幕上的油膩污跡而測算出用戶密碼,這就是一個邊信道攻擊。同理,安全研究人員就可以通過偵聽用戶電腦產(chǎn)生的高音調(diào)(10 150千赫茲)聲音來解密數(shù)據(jù)。
這可能聽起來很瘋狂,但利用正確的硬件工具來破解實(shí)際上并不難。首先,如果你確切地知道所要偵聽的頻段,那就可以使用低通和高通濾波器來截獲電腦中 CPU正在解密數(shù)據(jù)時(shí)所發(fā)出的聲音(實(shí)際上,聲信號由CPU電壓調(diào)節(jié)器產(chǎn)生,它需要在多樣和叢發(fā)性負(fù)載中保持恒定電壓)。一旦收到信號后,剩下的時(shí)間就是要讀懂它。
得益于一個高品質(zhì)的拋物面麥克風(fēng),研究人員在距離4米的地方成功提取了解密密鑰。更有趣的是,他們還設(shè)法將這種攻擊實(shí)驗(yàn)用在了遠(yuǎn)離目標(biāo)的筆記本電腦,而工具則是利用了一部30厘米外的智能手機(jī)。研究人員對不同的筆記本和臺式機(jī)的進(jìn)行了攻擊測試,結(jié)構(gòu)都獲得了不同程度的成功。
值得的是,相同類型的電子數(shù)據(jù)也可以從其他地方被獲取偵聽到,比如墻壁上的電源插座、以太網(wǎng)接線的遠(yuǎn)遠(yuǎn)程終端,甚至是僅僅通過觸摸計(jì)算機(jī)的方式(聲學(xué)密碼分析實(shí)際上是一門出奇危險(xiǎn)的學(xué)科)。試想一下,如果你在實(shí)驗(yàn)室、咖啡廳或其他公共場所解密一些文件,有人可以只需要將自己手機(jī)靠近你的電腦就能夠獲取你的解密密鑰,隨后就很有可能進(jìn)行成功攻擊。
利用HTML5和Flash 能夠訪問麥克風(fēng),或許只通過建立一個網(wǎng)站也能夠監(jiān)聽到解密密鑰。研究人員提出了一個特別邪惡的場景:將麥克風(fēng)放入一個共存的服務(wù)器中,架在數(shù)據(jù)中心的槽箱位,然后偵聽附近數(shù)百臺客戶終端的加密密鑰。
若要保持?jǐn)?shù)據(jù)的安全性,只有真正兩種可行的方案:高度加密和物理安全性,最好可以同時(shí)進(jìn)行。如果攻擊者不能靠近用戶的數(shù)據(jù),那么這些數(shù)據(jù)會很難被竊取。而對付偵聽密碼式的攻擊,用戶要么實(shí)現(xiàn)物理安全性,讓自己的筆記本電腦放置在隔音盒子里。要么永遠(yuǎn)不讓旁人靠近你的計(jì)算機(jī),除非你在解密數(shù)據(jù)時(shí),隨時(shí)開啟足夠強(qiáng)大的噪聲,從聲源上混淆或者增加被偵聽的難度,那么大樂隊(duì)的經(jīng)典協(xié)奏曲或許就不錯。
多模加密或成數(shù)據(jù)安全防護(hù)最后救星
上面提到的CPU的安全隱患著實(shí)讓人們驚出了一身冷汗,而其中提到的關(guān)于物理的防護(hù)之法雖然有點(diǎn)可笑,但確實(shí)在現(xiàn)在這種情況下也頗有作用。同時(shí)文中也提到了,高質(zhì)量的加密或是解決這種安全問題最好的手段。
雖然CPU泄密理論和時(shí)機(jī)的條件都已經(jīng)具備,但是“可工作范圍”和普及度遠(yuǎn)沒有達(dá)到威脅的標(biāo)準(zhǔn)。但是未雨綢繆總是沒錯的,同時(shí)為了應(yīng)對將來可能出現(xiàn)的更多安全問題,采用靈活且本源的多模加密技術(shù)進(jìn)行防護(hù)或是最佳的選擇。
多模加密技術(shù)采用對稱算法和非對稱算法相結(jié)合的技術(shù),在確保了數(shù)據(jù)本源防護(hù)質(zhì)量的同時(shí),其多模特性能讓用戶自主地選擇加密模式,從而能更靈活的對那些需要重點(diǎn)防護(hù)的數(shù)據(jù)進(jìn)行針對防護(hù)。同時(shí)這項(xiàng)技術(shù)由于采用了透明加密,使得加密過程完全透明、自動,從而也大大提高黑客通過CPU監(jiān)聽密鑰的難度。
CPU成為信息安全隱患,似乎給予信息設(shè)備一個巨大的打擊,但是我們不能灰心,也不應(yīng)該放棄,作為信息時(shí)代的公民,我們早已預(yù)料到會有更多種類的信息安全問題來襲。面對困難主動出擊、靈活應(yīng)對總是最正確的做法,而對于數(shù)據(jù)安全問題的,采用靈活且具有針對性的加密軟件進(jìn)行防護(hù)就是最明智的決定!