Geluid computer verraadt RSA-code

Afluisteren via slimtel

Je kunt een richtmicrofoon gebruiken, maar met een slimtel werkt het ook, zij het dat die wat dichterbij moet liggen.

Drie Israëlische onderzoe-kers hebben een computer een lange RSA-code van 4096 bits ontfutseld, door met een richtmicro-foon naar een decoderende computer te luisteren terwijl die een tekst decodeert. Die truc is ook te doen met een slimtel. Om die code te ontfutselen is het wel nodig dat er een direct ‘zicht’ is op de decoderende computer. RSA-versleuteling wordt veel gebruikt in bijvoorbeeld de digitale bankwereld om er zeker van te zijn dat de ontvanger van digitaal geld ook de eigenaar is. Daar zijn codelengtes van 2048 bits gebruikelijk. Volgens de onderzoekers zou dat afluisteren ook via internet (Skype) mogelijk zijn.Recente onderzoeken hebben aangetoond dat sensoren van slimtels kunnen worden gebruikt om een toestel te identificeren of er achter te komen wat iemand op zijn toetsenbord inklopt. In Israel hebben  Daniel Genkin (Technion), Adi Shamir (van het Weizmanninstituut) en Eran Tromer (universiteit van Tel Aviv) die lange RSA-code dus gekraakt door simpelweg naar de decoderende computer te luisteren. Ze deden dat door de microfoon op een meter of vier van de decoderende computer te zetten. Ze haalden de truc ook uit met een slimtel, maar dan moet die op zo’n 30 cm van de ‘krakende’ computer worden gehouden. Grappig is dat Adi Shamir de mede-uitvinder en -naamgever is van de RSA-code, die gebruik maakt van priemgetallen om voor de beveiliging van gegevensoverdracht te zorgen.
Als computers aan het werk zijn dan maken ze een hoop geluiden die veroorzaakt worden door verschillende elektronische bestanddelen van het rekentuig. Daar kan iemand veel mee aan de weet komen zoals met welk programma de gebruiker aan het werk is, maar dus ook welke geheim te blijven versleutelingscodes er worden gebruikt.
Bij hun ‘zijaanval’ maakten de onderzoekers gebruik van het Gnu-programma GnuPG 1.x. Met dat programma kun je versleutelde berichten versturen met een combinatie van open en privésleutels. Overigens hebben de onderzoekers wel een oude versie gebruikt om te voorkomen dat hun truc ook echt wordt misbruikt. Elke RSA-sleutel bleek een specifiek geluid te produceren. Met zelfontwikkelde programmatuur werd de sleutel binnen een uur gekraakt. Als slimtel werd een Android-toestel gebruikt. Dat werd op 30 cm van de decoderende computer op de ventilatie-uitgang ervan gericht. De truc werkt bij veel computers en ook bij verschillende besturingssystemen.

Verbeelding

Zoals gezegd moet je wel in de buurt van de (de)coderende zijn en moet je over een verfijnde microfoon beschikken, die lastig is te verbergen. Dus om nou te zeggen dat deze manier van afluisteren echt een groot risico inhoudt is wat veel gezegd, maar wat niet is kan nog komen als je een beetje je verbeelding laat spreken. Volgens de onderzoekers is de truc wat simpeler in de uitvoering als er een aparte toepassing voor zou worden gemaakt. Dan zou je slimtel met die toepassing in de buurt van het ‘doelwit’ kunnen leggen.  Dat zou je ook met een klapdoos of een tablet of met een computer in het netwerk kunnen doen. Ook zijn trucs te bedenken via Skype, kleine microfoons en ga zo maar door. Heel spectaculair wordt het als je servers in een datacentrum zou kunnen afluisteren, speculeren de Israeliërs. En dan helpt het ook niet als een computer afgesloten is van het netwerk. Het werkt met geluid, maar het zou ook kunnen werken, betogen de onderzoekers, met elektrische ladingen op de omkasting van computers. En, betogen ze, de truc werkt niet alleen bij RSA, maar ook bij andere methodes om veilige gegevensoverdracht te waarborgen.

Bron: Futura-Sciences

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.