计时攻击 属于旁路攻击的一种,所谓旁路攻击就是通过对系统的物理学分析和实现方式分析,而不是密码学分析或暴力破解,来尝试破解密码学系统的行为。密码学系统的电力消耗,电磁波泄露,时间差等信息都有可能提供对破解系统有帮助的信息。
而计时攻击就是利用时间差来对计算机进行攻击,那么它的原理是什么?我们拿 Rails 中的一段代码进行分析:
# constant-time comparison algorithm to prevent timing attacks
def secure_compare(a, b)
return false unless a.bytesize == b.bytesize
l = a.unpack "C#{a.bytesize}"
res = 0
b.each_byte { |byte| res |= byte ^ l.shift }
res == 0
end
这段代码的一个重要使用场景是验证签名 cookie 的有效性,即外部传入的摘要与内部计算的摘要是否相等,但是为什么不直接使用 a == b, 而是一个字符一个字符的比较,并且看上去以一种十分低效的方式进行的?
原因正是为了预防计时攻击。
a == b 在 Ruby 内部使用 memcmp 函数进行比较,当首次发现有两个字符不一致时,便直接返回两个字符在 ASCII 码表中的差值。在这样的机制下,CPU 运行的时间与字符串匹配度是有正关系的,字符串匹配度越高,CPU 运行时间越长,因此便可以通过对比时间差的方式逐一猜测破解。
预防计时攻击的方法通常也很简单,使用 constant-time 的方式。如上述比较摘要是否相等的示例代码,当发现两个字符不一致时,并没有立即返回,而是继续比较下去,因此使得计算时间不会变化。
虽然这样的处理,时间复杂度提高了,在语言级别的效率也降低了,但在系统安全的关键部分,付出了一点点性能的代价还是值得的。
也许你会觉得不解 (我也是), 每个请求在不同的情况下包括网络延迟,计算机运行状态都是不可能完全一致的,况且这么一点点的时间差在 Rails 处理整个复杂的请求过程中 (你应该知道,在 Rails 中一个请求可能生成数以万计的 Ruby 对象) 也显得非常的微不足道,应该是非常难以利用的,计时攻击难道仅仅存活在理论当中吗?这篇论文也许可以给我们带来一些参考。
Devise 里面对密码也是这样比较的,还特地加了注释说是预防 Timing attack,不过到现在都不明白 Timing attack 的攻击原理。
@zgm 在看 devise 源码的过程中,看到 secure_compare,然后回想起来 你分享过 这个内容。
所以 这个 有个问题 想请教一下:
a == b 这么获取到 在 ASCII 码表中的差值?
#30 楼 @meeasyhappy 不是说 a == b 获取到 差值,而是说 Ruby 在内部使用 C 函数 memcmp 来实现 == 方法,你可以看一下这个 C 函数
