Nahfeldsondierung
Seitenkanalangriff auf OpenThread
Fortsetzung des Artikels von Teil 6
Angriffsergebnis
Etwa die halbe Angriffszeit fällt auf die iterative Verbesserung der Feldaufnahme. Art und Probenposition nehmen wesentlichen Einfluss auf die Signalqualität. In unserem Szenario genügten 10000 Spuren (etwa 3 Stunden) um den MLE-Schlüssel zu erlangen. Dabei waren zwei Schlüssel-bytes wesentlich schwieriger zu heben als der Rest. Andere Angriffsmethoden, wie die Lineare-Regressions-Attacke, gaben sich nicht effizienter.
Dieses Verhalten wird von der Hardwarecharakteristik auf dem Zielgerät, der Taktfrequenz und der ausgeführten Befehlsfolge auf dem Ziel bestimmt. Es hängt nicht vom Wert des jeweiligen Schlüsselbytes ab, aber wohl von seiner Position.
Mit der Aufzeichnungslänge werden die temporären Schlüssel wahrscheinlich vor Aquisitionsende geändert. Der vierte Angriffsschritt scheint in der vorliegenden OpenThread-Implementierung unmöglich, da die Fragmentierung der MLE-Child-ID-Response Antwort (und damit zusätzlicher KMAC-Verschlüsselung) unvermeidbar scheint. In anderen Implementierung ist dies aber nicht auszuschließen. Eine zusätzliche DEMA-Attacke wie oben beschrieben kann den KMAC-Schlüssel durchaus heben.
Den Angriff verbessern
Die beiden schwierigsten Schlüsselbytes blieben im Angriff fixiert. Um einen Vorlagenangriff zu vermeiden, können unter Studium eines ähnliches Gerätes, die Eingangswörter darauf angepasst werden: Betrachtet werden Eingangskonfigurationen welche die Anzahl der angegriffenen bytes minimieren. In unserem Fall 45 aus 210 - 1 möglichen Konfigurationen. Damit sinkt die Zahl der notwendigen CPA-Attacken von 44 auf 37, also 16% Verbesserung.
Das Vorgehen bedeutet eine Justage der steuerbaren Zielbytes, die Zahl der notwendigen Spuren wird halbiert. Mit geringerem Datenverkehr sinkt auch die Alarmwahrscheinlichkeit. Die Technik zur Verbesserung der Attacke wurde in [6] diskutiert.
Durchführbarkeit und Gegenmaßnahmen
Da low- bis mid-range Oszilloskope wie das Picoscope für den Angriff genügen und Software / Tutorials / Hochleistungstools frei verfügbar sind [7,8] werden solche Attacken sehr durchführbar.
Die Angriffsmethode muss aber für jede Elektronikfamilie neu abgeglichen werden. Gegenmaßnahmen bilden spezielle Gehäuse, geschützte kryptographische Implementierungen oder Thread-Spezifische Protokoll-Veränderungen. Der MasterKey sollte für jeden Transfer einen eigenen Schlüssel erhalten oder der Nachrichtenaustausch eingeschränkt werden. Auch die Limitierung der Antwortrate kann den Angreifer ausbremsen, allerdings wird das Netzwerk damit auch anfälliger für DoS-Angriffe. Die Rotationszeit für KMLE und KMAX sollte zusätzlich von 672 Stunden auf eine Stunde verringert werden.
Fazit
Die Bedrohung für ein Threadnetzwerk durch Seitenkanalangriffe ist real. Unseren Resultaten nach liegen die größten Angriffspotenziale für IoT-Produkte in der Verarbeitung unberechtigt in das Netz gebrachter Botschaften, Feldemissionen, Konversion temporärer Schlüssel zu MasterKeys und der Verwendung eines einzelnen MasterKeys für das gesamte Netzwerk. Entwickler von IoT-Protokollen sollten diese Angriffsflächen berücksichtigen.
Jobangebote+ passend zum Thema
- Seitenkanalangriff auf OpenThread
- Seitenkanalangriffe
- Sicherheitsschlüssel
- Thread-Bedrohungen
- MLE-Parent-Anfrage
- Angriffsimplementierung
- Angriffsergebnis
- Literatur
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Seitenkanalangriffe
Auflösung schlägt Duplizierung
OpenPGP, S/MIME, TLS
E-Mail-Verschlüsselungen umgehen
Patch-Flut droht
Neue Sicherheitslücken in Intel-Chips
Hima Paul Hildebrandt
Safety und Security auf einer Technologie-Plattform
WaveSurfer-Scopes | Teledyne LeCroy
Erweiterter Funktionsumfang für Leistungselektroniktests
