墨者防御联盟-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

一种有效应对侧信道内存攻击的新想法

06-29 WEB安全

一种有效应对侧信道内存攻击的新方法

现如今,共享计算设备是一种很普遍的行为,CC防御,尤其是当用户在云端或挪移设备举行计算时。然而这种资源共享行为特别大概会无意间泄露用户的隐私信息。由于同一台计算机上运行的多个程序大概共享相同的内存资源,CC防御,所以它们中存放的隐私数据(例如存储在计算机内存中的加密密钥或用户密码)大概会被恶意程序经过“内存时序(memory-timing)侧信道攻击(side-channel attacks)”窃取。

信道内存攻击目前在现实中并不常见,缘由在于,这种攻击通常具有高度的复杂性,不仅需要定制攻击程序,还要对电信号(electric signaling)的工作原理以及控制模式很了解。然而,研究人员发觉,一些高级攻击者基本开始利用该技术对高价值目标发起针对性攻击。值得一提的是,北卡罗来纳州立大学研究人员不大会儿前正是经过侧信道攻击,实现了对同态加密技术的绕过。攻击方仅经过监听执行同态加密编码操作的设备功耗,就成功以明文形式提取了同态加密中的数据。这件情况也为行业敲响了警钟,警示我们即便是下一代加密技术也同样需要针对侧信道攻击的有效防护机制。

阻挠这种攻击的传统想法是,一次只允许一具程序使用内存操纵器,但这会大大落低计算速度。麻省理工学院的研究团队目前成功设计出了一种新想法,该想法允许内存共享然后存在,并且提供针对此类侧信道攻击的安全防护能力。这种新想法,将程序的内存请求“塑造”成预定义的模式,并混淆程序实际需要使用内存操纵器的时刻,从而扰乱攻击者的视线。

在一具程序能够访咨询内存操纵器之前,它必须经过一具“请求塑造器”(request shaper)来“塑造”内存请求。这种“请求塑造器”使用图形结构来处理请求并按照固定的时刻表将它们发送到内存操纵器。这种类型的图称为有向无环图(DAG),而这种创新安全方案称为 DAGguise。

使用这种严格的时刻表,有时DAGguise会将程序的请求延迟到下一次允许访咨询内存(依照固定的时刻表),或者有时假如程序不需要访咨询内存,它会提交一具假请求调度间隔。总之,经过这种很结构化的模式,用户能够向攻击者躲藏实际行为。

DAGguise会将程序的内存访咨询请求表现为一具图,其中每个请求都存储在一具“节点”中,连接节点的“边”是请求之间的时刻依靠关系。(请求A必须在请求B之前完成。)节点之间的边——每个请求之间的时刻是固定的。程序能够在需要时向DAGguise提交内存请求,DAGguise将调整该请求的时刻以始终确保安全。不管处理内存请求需要多长时刻,攻击者看到的都不过请求实际发送到操纵器的时刻。

这种图结构使内存操纵器可以动态共享。假如有很多程序试图一次使用内存,DAGguise能够适应并相应地调整固定时刻表,从而更有效地使用共享内存硬件,并且仍然保持安全性。研究人员称,“我们的解决方案算是将受害者对内存操纵器的访咨询请求转移到动态随机存取存储器(Dynamic Random Access Memory,简称DRAM),接着‘塑造’请求。如此一来,不管攻击者经过何种方式,都特别难窃取到隐私数据。对此,我们举行了模拟验证,结果显示DAGguise这一方案很有效。”

研究人员承认,DAGuise会对系统性能产生一定阻碍,但与其他安全解决方案相比,DAGguise 对计算设备性能的阻碍大幅落低。固然,CC防御,除了在实现更快计算的并且提供更好的安全性之外,该技术还能够应用于一系列针对共享计算资源的不同侧信道攻击。

参考链接:

https://news.mit.edu/2022/cyber-security-attackers-0223

https://news.ncsu.edu/2022/03/stealing-homomorphic-encryption-data/

版权保护: 本文由 主页 原创,转载请保留链接: /web/183236.html


QQ客服

400-0797-119