Esoterik

Es ist sehr selten, dass Elektromagnetismus-Esoteriker den Weg in eine Mainstream-Konferenz wie die der RSA findet.

Elektromagnetische Wellen, die den Krypto-Schlüssel verraten, die einen Empfänger nur durch den Aufruf von Krypto-Algorithmen über diese Wellen aktivieren. Ich lach' mich kariert.

1) Der Krypto-Schlüssel wird von einem Gerät gar nicht emittiert. Auch nicht durch die elektronischen Vorgänge in diesem Gerät; die Stärke der Impulse ist viel zu gering für einen Reichweitenempfang. Das Passwort wird schließlich zur symmetrischen Ver- und Entschlüsselung auf beiden Seiten verwendet, ohne dass es ständig auf direktem Wege ausgetauscht würde.

2) Ein Smartphone emittiert ständig elektromagnetische Impulse; u.a. zu hören in der Nähe von Lautsprechern. Sie beinhalten aber nicht den Krypto-Schlüssel und sind, abgesehen von dem von der Antenne abgegebenen Signal, auf diese Weise nicht zu entschlüsseln. Diese Signale fluktuieren auch nicht entsprechend der elektronischen Vorgänge so bestimmt, dass sie einen unsichtbaren Code für den derzeit laufenden Prozess darstellen könnten. Kein Gerät, auch kein Smartphone, arbeitet so langsam.

Fazit: Es gibt keinen Morse-Code für Krypto-Passwörter. Fertig.

Dhyfe schrieb:
--------------------------------------------------------------------------------
> Es ist sehr selten, dass Elektromagnetismus-Esoteriker den Weg in eine
> Mainstream-Konferenz wie die der RSA findet.

Paul Kocher ein Esoteriker?
Ich schlage einen Schwanzvergleich vor: Dhyfe gegen Paul Kocher. Wer versteht mehr von Kryptographie? Ring frei zu ersten Runde.

@Dhyfe

Da stimmt ich Flying Circus allerdings zu... Mit Halbwissen Definitionen zu fundieren ist schon etwas gewagt, ganz abgesehen von dem ungerechtfertigtem Angriff, Paul Kocher sei Esoteriker.

Was sind deine Referenzen die dein Statement untermauern? Hast du auch an SSH3.0 und Deepcrack mitgewirkt, oder vergleichbares getan? Beschäftigst du dich überhaupt professionell mit der Datensicherheit?

Dhyfe schrieb:
--------------------------------------------------------------------------------

> 1) Der Krypto-Schlüssel wird von einem Gerät gar nicht emittiert. Auch
> nicht durch die elektronischen Vorgänge in diesem Gerät; die Stärke der
> Impulse ist viel zu gering für einen Reichweitenempfang. Das Passwort wird
> schließlich zur symmetrischen Ver- und Entschlüsselung auf beiden Seiten
> verwendet, ohne dass es ständig auf direktem Wege ausgetauscht würde.

Ich kann das Ganze auch nur so interpretieren, dass eine mangelnde Verschlüsselung der Funkübertragung irgendwelche unentdeckten Sicherheitslücken öffnet. Gesendet wird (oder besser sollte nur gesendet werden) ja nur der Public Key und den kann sich ja gerne jeder ansehen.

Die andere Interpretation - das elektromagnetische Auslesen der internen Funktionen des Gerätes über die durch das Gerät beim Betrieb emittierte elektromagnetische Strahlung - klingt tatsächlich sehr nach SF. Vor allem, da die Verwendung des privaten Schlüssels nur eine von etlichen quasi-parallel ablaufenden Funktionen innerhalb des Gerätes ist.

Andererseits gab es ja schon immer Urban Legends z.B. über das Auslesen von Tastaturen mittels Funkempfängern etcpp ;-)



1 mal bearbeitet, zuletzt am 30.01.12 14:07 durch Mimus Polyglottos.

> 1) Der Krypto-Schlüssel wird von einem Gerät gar nicht emittiert.

Hat ja auch niemand behauptet.

> Auch
> nicht durch die elektronischen Vorgänge in diesem Gerät; die Stärke der
> Impulse ist viel zu gering für einen Reichweitenempfang.

Von was für einer Stärke und welcher Entfernung redest du?

> 2) Ein Smartphone emittiert ständig elektromagnetische Impulse; u.a. zu
> hören in der Nähe von Lautsprechern.

Mit entsprechenden Filtern, also bei Kenntnis der Funktionsweise des Gerätes, gar kein Problem.

Von der Art des Angriffes hat der Artikel ja gar nicht gesprochen. Du kannst also hinsichtlich der Funktionsweise überhaupt kein Urteil bilden.

„Jede hinreichend fortschrittliche Technologie ist von Magie nicht zu unterscheiden.“
Für die einen ist es Magie, für andere eine Möglichkeit. Hängt von dem Wissensstand ab, den man sich erworben hat,

Lest mal das hier http://www.networkworld.com/news/2012/012612-rsa-crypto-keys-255379.html?hpg1=bn

Vielleicht kommt die Erklärung in Englisch besser rüber.

Hat mit m.E. mit Esoterik wenig zu tun, eher was mit unzureichender Abschirmung und wissen was der Krypto-Chip wie emittiert. Intern wird der Chip seine Kommunikation nicht verschlüsseln (Wozu auch?), kann man dass dann auch noch irgendwie auslesen ...

Ich halte den Angriffsvektor für wahrscheinlich, aber 'sehen' werden wir das erst, wenn das in einem Monat vorgetragen wird.

Abgefahren? Ja. Fantastisch? Nein. Side Channel Angriffe sind groß im kommen. Dazu kann man gerne mal die Präsentation von Adi Shamir (das S aus RSA) vom letzten Jahr lesen, so ab Seite 23 wird das beschrieben.
http://www.lsec.be/upload_directories/documents/AdiShamir.pdf

bist du dir sicher dass du den artikel gelesen hast?

> > 1) Der Krypto-Schlüssel wird von einem Gerät gar nicht emittiert.
>
> Hat ja auch niemand behauptet.

der artikel sagt: "Die Kryptografie-Schlüssel eines Mobiltelefons sollen sich aus den Funkwellen auslesen lassen, die das Gerät emittiert."

> Von was für einer Stärke und welcher Entfernung redest du?

"...within about 10 feet from the smartphone."

aus dem original-artikel in der networkworld. 10 fuss sind 3 meter.

> Von der Art des Angriffes hat der Artikel ja gar nicht gesprochen. Du
> kannst also hinsichtlich der Funktionsweise überhaupt kein Urteil bilden.

und wieder die networkworld:

"You tune to the right frequency," says Kocher, who described the hacking procedure as involving use of a radio device much like a common AM radio that will be set up within about 10 feet from the smartphone. The radio-based device will pick up electromagnetic waves occurring when the crypto libraries inside the smartphone are used, and computations can reveal the private key.

einfach mal auf den link klicken, nur weil golem hier die hälfte der informationen weglässt heisst das nicht dass sie nicht zu bekommen sind...

was mich an der geschichte wundert ist, ob nicht auch der hersteller des kryptochips mal auf so eine idee gekommen ist...