დროის შეტევა არის გვერდითი არხის თავდასხმის სახეობა კიბერუსაფრთხოების სფეროში, რომელიც იყენებს კრიპტოგრაფიული ალგორითმების შესასრულებლად საჭირო დროის ვარიაციებს. ამ დროის განსხვავებების გაანალიზებით, თავდამსხმელებს შეუძლიათ გამოიკვლიონ მგრძნობიარე ინფორმაცია გამოყენებული კრიპტოგრაფიული გასაღებების შესახებ. თავდასხმის ამ ფორმას შეუძლია ზიანი მიაყენოს სისტემების უსაფრთხოებას, რომლებიც ეყრდნობიან კრიპტოგრაფიულ ალგორითმებს მონაცემთა დაცვისთვის.
დროული შეტევის დროს, თავდამსხმელი ზომავს კრიპტოგრაფიული ოპერაციების შესრულების დროს, როგორიცაა დაშიფვრა ან გაშიფვრა, და იყენებს ამ ინფორმაციას კრიპტოგრაფიული გასაღებების შესახებ დეტალების დასადგენად. ძირითადი პრინციპი არის ის, რომ სხვადასხვა ოპერაციებს შეიძლება დასჭირდეს ოდნავ განსხვავებული დრო, რაც დამოკიდებულია დამუშავებული ბიტების მნიშვნელობებზე. მაგალითად, 0 ბიტის დამუშავებისას ოპერაციას შეიძლება ნაკლები დრო დასჭირდეს 1 ბიტის დამუშავებასთან შედარებით, ალგორითმის შიდა მუშაობის გამო.
დროის შეტევები შეიძლება იყოს განსაკუთრებით ეფექტური იმ განხორციელების წინააღმდეგ, რომლებსაც არ გააჩნიათ შესაბამისი კონტრზომები ამ დაუცველობის შესამცირებლად. დროის შეტევების ერთ-ერთი საერთო სამიზნე არის RSA ალგორითმი, სადაც მოდულური ექსპონენტაციის ოპერაციას შეუძლია აჩვენოს დროის ვარიაციები საიდუმლო გასაღების ბიტებზე დაყრდნობით.
დროის შეტევების ორი ძირითადი ტიპი არსებობს: პასიური და აქტიური. პასიური დროის შეტევისას, თავდამსხმელი აკვირდება სისტემის დროის ქცევას მასზე აქტიური გავლენის გარეშე. მეორეს მხრივ, აქტიური დროის შეტევა გულისხმობს თავდამსხმელის აქტიურ მანიპულირებას სისტემაში, რათა დანერგოს დროის განსხვავებები, რომელთა გამოყენება შესაძლებელია.
დროული შეტევების თავიდან ასაცილებლად, დეველოპერებმა უნდა განახორციელონ კოდირების უსაფრთხო პრაქტიკა და კონტრზომები. ერთი მიდგომა არის იმის უზრუნველყოფა, რომ კრიპტოგრაფიულ ალგორითმებს აქვთ მუდმივი დროის განხორციელება, სადაც შესრულების დრო არ არის დამოკიდებული შეყვანის მონაცემებზე. ეს გამორიცხავს დროის განსხვავებებს, რომლებიც შეიძლება გამოიყენონ თავდამსხმელებმა. გარდა ამისა, შემთხვევითი შეფერხებების ან დაბრმავების ტექნიკის დანერგვამ შეიძლება დაგვეხმაროს პოტენციური თავდამსხმელებისთვის ხელმისაწვდომი დროის ინფორმაციის ბუნდოვანებაში.
დროებითი შეტევები მნიშვნელოვან საფრთხეს უქმნის კრიპტოგრაფიული სისტემების უსაფრთხოებას ალგორითმის შესრულების დროის ვარიაციების გამოყენებით. დროული თავდასხმების პრინციპების გაგება და შესაბამისი კონტრზომების განხორციელება გადამწყვეტი ნაბიჯია მავნე აქტორებისგან მგრძნობიარე ინფორმაციის დასაცავად.
სხვა ბოლოდროინდელი კითხვები და პასუხები EITC/IS/ACSS გაფართოებული კომპიუტერული სისტემების უსაფრთხოება:
- რა არის არასანდო შენახვის სერვერების ამჟამინდელი მაგალითები?
- რა როლი აქვს ხელმოწერას და საჯარო გასაღების კომუნიკაციის უსაფრთხოებაში?
- ქუქიების უსაფრთხოება კარგად შეესაბამება SOP-ს (იგივე წარმოშობის პოლიტიკას)?
- შესაძლებელია თუ არა ჯვარედინი მოთხოვნის გაყალბების (CSRF) შეტევა როგორც GET მოთხოვნით, ასევე POST მოთხოვნით?
- სიმბოლური აღსრულება კარგად შეეფერება ღრმა შეცდომების პოვნას?
- შეიძლება სიმბოლური აღსრულება მოიცავდეს ბილიკის პირობებს?
- რატომ მუშაობს მობილური აპლიკაციები უსაფრთხო ანკლავში თანამედროვე მობილურ მოწყობილობებში?
- არის თუ არა მიდგომა ხარვეზების მოსაძებნად, რომლებშიც პროგრამული უზრუნველყოფის უსაფრთხოება შეიძლება დადასტურდეს?
- იყენებს თუ არა მობილურ მოწყობილობებში უსაფრთხო ჩატვირთვის ტექნოლოგია საჯარო გასაღების ინფრასტრუქტურას?
- არის თუ არა მრავალი დაშიფვრის გასაღები თითო ფაილურ სისტემაში თანამედროვე მობილური მოწყობილობის უსაფრთხო არქიტექტურაში?
იხილეთ მეტი კითხვები და პასუხები EITC/IS/ACSS Advanced Computer Systems Security-ში