Алгоритм ECDSA непреднамеренно раскрывает криптографические ключи при использовании на мобильном устройстве.
Команда экспертов из Института информационной безопасности Check Point при Тель-Авивском университете (Check Point Institute for Information Security at Tel Aviv University) и Университета Аделаиды (University of Adelaide) разработали новый метод атаки, позволяющий извлечь ключи шифрования при помощи электромагнитных волн, испускаемых смартфонами.
По словам исследователей, криптографическое ПО, применяемое для защиты важных данных на мобильных телефонах, использует алгоритм ECDSA (Elliptic Curve Digital Signature Algorithm), предназначенный для создания цифровой подписи. Как выяснили ученые, данный алгоритм непреднамеренно раскрывает криптографические ключи при использовании на мобильном устройстве.
В зависимости от объема шифруемых на смартфоне данных изменяются длина волны электромагнитного излучения и количество потребляемой энергии. Размещая зонд вблизи мобильного гаджета, злоумышленник может измерить электромагнитное излучение и полностью извлечь секретный ключ. Измерение производится в непосредственной близости к устройству или USB-адаптеру, подключенному к USB-кабелю телефона или USB звуковой карты.
При помощи данного метода экспертам удалось извлечь открытые ключи из библиотек OpenSSL и CoreBitcoin, работающих на устройствах iOS. Также экспертам удалось частично получить ключи из библиотек OpenSSL для Android-устройств и CommonCrypto для iOS-гаджетов.