TẤN CÔNG TIÊM LỖI
FIA là tấn công được thực hiện một cách cố ý lên thiết bị mật mã với mục đích làm cho thiết bị rò rỉ khóa bí mật [1]. Các lỗi được đưa vào sẽ gây trục trặc tạm thời cho thiết bị dưới dạng nhiễu loạn (do lỗi lật 1 hay vài bit bộ nhớ). Vì thiết bị vẫn tiếp tục hoạt động nên sự nhiễu loạn được lan truyền đến các vị trí nhớ khác, rồi dần gây lỗi và làm sai lệch kết quả đầu ra (còn gọi là các bản mã lỗi). Nếu lỗi được tiêm vào chính xác và có những thuộc tính xác định, tin tặc có thể sử dụng bản mã lỗi đó để tìm ra khóa bí mật.
Nhiều nghiên cứu chỉ ra rằng, các thuật toán mật mã đối xứng và bất đối xứng đều dễ bị tấn công trước FIA. Năm 1997, Boneh, DeMillo và Lipton đã chỉ ra rằng việc triển khai RSA sử dụng định lý phần dư Trung Hoa (Chinese Remainder Theorem - CRT) có thể dễ dàng bị phá vỡ bằng cách sử dụng các lỗi [2]. Cũng trong năm đó, Biham và Shamir đã công bố một tấn công được biết đến là phân tích lỗi vi sai (Differential Fault Analysis - DFA), tấn công này có thể phá vỡ hầu hết các hệ thống mật mã đối xứng [3]. DFA có thể tìm được khóa của thuật toán mật mã bằng cách kiểm tra sự khác biệt giữa một bản mã đúng và một bản mã bị lỗi. Tấn công DFA có thể thực hiện thành công trên một số thuật toán mật mã như AES, TWOFISH, PRESENT [4]. Ngày nay, sau khi các cuộc tấn công này được công bố, bên cạnh tấn công kênh kề (Side Channel Attack - SCA) thì FIA cũng là cách tấn công được quan tâm nhiều trong bảo mật phần cứng. Ngoài DFA còn có nhiều phương pháp phân tích đã được công bố như tấn công phân tích lỗi không hiệu quả theo thống kê (Statistical Ineffective Fault Analysis - SIFA), phân tích độ nhạy lỗi (Fault Sensitivity Analysis - FSA), tấn công lỗi mẫu (Fault Template Attacks - FTA) và sự kết hợp giữa FIA và SCA.
Quý độc giả quan tâm vui lòng đọc tiếp tại đây.
|
TÀI LIỆU THAM KHẢO [1]. Barenghi, L. Breveglieri, I. Koren, D. Naccache, Fault Injection Attacks on Cryptographic Devices: Theory, Practice, and Countermeasures, Proceedings of the IEEE, page 3056-3076, 2012. [2]. Bozzato, R. Focardi, and F. Palmarini. Shaping the glitch: optimizing voltage fault injection attacks. IACR Transactions on Cryptographic Hardware and Embedded Systems, pages 199-224, 2019. [3]. Boneh, R. A. DeMillo, and R. J. Lipton. On the importance of checking cryptographic protocols for faults. In International conference on the theory and applications of cryptographic techniques, pages 37-.51. Springer, 1997. [4]. Samyde, S. Skorobogatov, R. Anderson, and J.-J. Quisquater. On a New Way to Read Data from Memory. In First International IEEE Security in Storage Workshop, pages 65-69. IEEE Computer Society, 2002 |
TS. Đỗ Quang Trung, Nguyễn Như Chiến, Trần Thị Hạnh (Học viện Kỹ thuật mật mã)
10:00 | 24/02/2021
15:00 | 23/11/2020
10:00 | 25/04/2023
HTTP và HTTPS là những giao thức ứng dụng có lịch sử lâu đời của bộ giao thức TCP/IP, thực hiện truyền tải siêu văn bản, được sử dụng chính trên nền tảng mạng lưới toàn cầu (World Wide Web) của Internet. Những năm gần đây, Google đã nghiên cứu thử nghiệm một giao thức mạng mới trong giao thức HTTP phiên bản 3 đặt tên là QUIC, với mục tiêu sẽ dần thay thế TCP và TLS trên web. Bài báo này giới thiệu về giao thức QUIC với các cải tiến trong thiết kế để tăng tốc lưu lượng cũng như làm cho giao thức HTTP có độ bảo mật tốt hơn.
12:00 | 03/03/2023
Kiểm thử xâm nhập còn được gọi là ethical hacking, là quá trình thực hiện mô phỏng tấn công mạng vào một hệ thống máy tính hoặc phần mềm định trước nhằm mục đích kiểm tra, đánh giá mức độ an toàn của hệ thống cũng như dò tìm các lỗ hổng bảo mật. Hiện nay có rất nhiều các công cụ kiểm thử xâm nhập phổ biến cho các chuyên gia bảo mật, việc lựa chọn các công cụ phần mềm kiểm thử xâm nhập phù hợp có thể giúp các tổ chức đáp ứng được các tiêu chuẩn về quản lý an toàn thông tin cũng như hiệu quả trong khai thác sử dụng hệ thống. Bài báo dưới đây giới thiệu tới bạn đọc một số công cụ kiểm thử xâm nhập được đánh giá là tốt nhất hiện nay [1].
10:00 | 21/02/2023
Khi khối lượng và sự đa dạng của dữ liệu có thể được thu thập thì việc lưu trữ và phân tích đã tăng vọt trong hơn một thập kỷ qua. Cùng với đó, những vấn đề về bảo mật ngày càng trở nên quan trọng, đặc biệt là việc bảo vệ dữ liệu cá nhân của người dùng.
17:00 | 26/08/2022
Trong bối cảnh ngày nay, công nghệ đang phát triển mạnh mẽ, những vụ việc về vi phạm dữ liệu cũng đang theo chiều hướng gia tăng và ngày càng trở nên phổ biến. Một chiến lược cũng được nhiều chuyên gia đã khuyến nghị sử dụng trong việc ngăn chặn vi phạm dữ liệu là sử dụng giải pháp phân chia nhiệm vụ. Đây là một biện pháp an ninh quan trọng có thể giúp cải thiện tính chính xác và tính toàn vẹn của các quy trình trong tổ chức/doanh nghiệp.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
Do lưu giữ những thông tin quan trọng nên cơ sở dữ liệu thường nằm trong tầm ngắm của nhiều tin tặc. Ngày nay, các cuộc tấn công liên quan đến cơ sở dữ liệu để đánh cắp hay sửa đổi thông tin càng trở nên khó lường và tinh vi hơn, vì vậy việc quản lý cơ sở dữ liệu đặt ra những yêu cầu mới với các tổ chức, doanh nghiệp. Trong hệ thống phân tán, khi dữ liệu được phân mảnh và phân phối trên các vị trí khác nhau có thể dẫn đến khả năng mất toàn vẹn của dữ liệu. Thông qua sử dụng cây Merkle và công nghệ Blockchain ta có thể xác minh tính toàn vẹn của dữ liệu. Trong bài viết này, nhóm tác giả sẽ trình bày các nghiên cứu về ứng dụng cây Merkle và công nghệ Blockchain để bảo đảm tính toàn vẹn dữ liệu cho cơ sở dữ liệu phân tán, đồng thời đảm bảo hiệu năng của hệ thống.
18:00 | 22/09/2023
Internet robot hay bot là các ứng dụng phần mềm thực hiện các tác vụ lặp đi lặp lại một cách tự động qua mạng. Chúng có thể hữu ích để cung cấp các dịch vụ như công cụ tìm kiếm, trợ lý kỹ thuật số và chatbot. Tuy nhiên, không phải tất cả các bot đều hữu ích. Một số bot độc hại và có thể gây ra rủi ro về bảo mật và quyền riêng tư bằng cách tấn công các trang web, ứng dụng dành cho thiết bị di động và API. Bài báo này sẽ đưa ra một số thống kê đáng báo động về sự gia tăng của bot độc hại trên môi trường Internet, từ đó đưa ra một số kỹ thuật ngăn chặn mà các tổ chức/doanh nghiệp (TC/DN) có thể tham khảo để đối phó với lưu lượng bot độc hại.
10:00 | 22/09/2023
