Gửi bài viết tới BigCoin

Một cái nhìn gần gũi hơn về năng lượng tiết lộ khóa riêng tư

Đăng bởi: StevenPalley  - 12/06/2018 - 206 lượt xem
Chia sẻ
 

Ví cứng là thiết bị được dùng để lưu trữ thông tin nhạy cảm trong các giao dịch tiền mã hóa

Ví cứng là thiết bị được dùng để lưu trữ thông tin nhạy cảm trong các giao dịch tiền mã hóa

Các ví cứng (Hardware Wallet) là các thiết bị được sử dụng riêng để lưu trữ thông tin tiền mã hóa có độ nhạy cao để xác thực các giao dịch tiền mã hóa. Chúng hữu ích nếu người ta lo lắng về sự thỏa hiệp của một máy tính có mục đích sử dụng cơ bản dẫn đến việc mất mát các thông tin bí mật (và do đó dẫn đến thâm hụt các khoản tiền). Ý tưởng là di chuyển dữ liệu quan trọng ra khỏi một máy kết nối mạng không an toàn và vào một thiết bị không có kết nối mạng không thể chạy phần mềm khác. Khi thiết kế một thiết bị phần cứng tập trung vào bảo mật như ví phần cứng, điều quan trọng là phải xem xét lại những mối đe dọa. Các mối đe dọa cành phức tạp càng cần những sự bảo vệ tinh tế hơn và cuối cùng, chúng  ta cũng cần phòng ngừa cao độ. Vào năm 2015 khi [Jochen] xem xét phần cứng TREZOR của mình, anh phát hiện ra rằng có lẽ tất cả các biện pháp phòng ngừa không được coi trọng.

Hãy bắt đầu với một cuộc thảo luận về một số mối đe dọa phổ biến cho các vi điểu khiển và cách giảm thiểu chúng. Khi phát triển chương trình cơ sở, việc sử dụng bảng điều khiển nối tiếp để in các thông báo gỡ lỗi là khá phổ biến. Rõ ràng là nếu điều này được bật khi sản phẩm cuối cùng được giao, bạn không nên in ra thông tin nhạy cảm (như khóa riêng tư) trong khi hoạt động, vì sợ ai đó kết nối bộ điều hợp nối tiếp và xem tin nhắn! Tất nhiên bạn có thể thử giấu các chân vật lý mà bàn điều khiển nối tiếp được kết nối, nhưng phải hiểu rằng bảo mật theo cách đó là nó không có hiệu quả và do đó không đủ. Thế còn nơi bạn lưu trữ dữ liệu? Nếu nó nằm trong thiết bị bên ngoài (thẻ SD, NAND / NOR flash, EEPROM, v.v ...), ai đó có thể chạm vào các đường giữa thiết bị đó và bộ vi xử lý rồi xem các thông báo liên quan đến khóa có phải không? Họ có thể xóa bộ nhớ ngoài và tự đọc không? Họ có thể, trong trường hợp đó bạn có thể mã hóa dữ liệu, nhưng sau đó bạn đặt chìa khóa đó ở đâu? Một số vi điều khiển có "một thời gian lập trình" (OTP) để bảo vệ những bí mật như vậy. Đối với nhiều sản phẩm lưu trữ các khóa trong OTP, vô hiệu hóa quyền truy cập gỡ lỗi và tắt bảng điều khiển gỡ lỗi là đủ. Nhưng đối với một sản phẩm tập trung vào bảo mật như ví cứng, có tính năng chính là bảo mật, cần có các biện pháp nghiêm ngặt hơn.

Các cuộc tấn công của kênh phụ tập trung vào khai thác hệ thống dựa trên chính hệ thống thay vì phần mềm chạy trên đó. Phạm vi đầy đủ các kênh phụ có thể khá rộng nhưng trong trường hợp này, chúng tôi quan tâm đến việc sử dụng kỹ thuật được gọi là phân tích năng lượng để kiểm tra xem vi điều khiển nào đang chạy và dữ liệu nào đang xử lý. Khi CPU đang thực thi mã, mức tiêu thụ điện năng của nó thay đổi một cách tối thiểu tùy thuộc vào lệnh nào đang chạy. Với các công cụ đủ nhạy cảm (một điện trở dao động và điện trở shunt đủ tốt), bạn có thể đo những dao động này theo thời gian và nắm bắt được một bức tranh chi tiết về những gì CPU đang làm. Có cả biện pháp đối phó phần mềm và phần cứng để bảo vệ chống lại phân tích năng lượng nhưng những phần mềm này không nằm ngoài phạm vi vào thời điểm đó.

Quay lại [TREO] của [Jochen]. Tại thời điểm anh ấy viết bài, thiết bị hoạt động bằng cách lưu trữ một giá trị hạt giống được sử dụng để tính toán các khóa công khai và riêng tư. Khi nó được kết nối với một máy tính, nó có thể được yêu cầu cung cấp khóa công khai để tham gia vào các giao dịch. [Jochen] nhận thấy rằng nếu họ theo dõi mức tiêu thụ điện năng của thiết bị với một mức phí rẻ và điện trở shunt, các thuật toán tạo ra các khóa dễ nhận biết. Màn hình hiển thị trên thiết bị che khuất hoạt động của CPU một chút nhưng trong các giai đoạn nhất định của quá trình có thể quan sát các xung đột xuất do các thuật toán được sử dụng để tính toán khóa công cộng và khóa riêng từ hạt gốc. Bằng cách đếm thời gian của các dao động này và sử dụng tham chiếu chữ ký điện từ một thiết bị khác, có thể khôi phục chuỗi số 1 và 0 bao gồm khóa riêng, tại thời điểm đó thiết bị không hiệu quả. Mối quan tâm của [Jochen] là một kẻ tấn công có thể lừa một TREZOR, xem trong khi nó tạo ra chìa khóa nhanh chóng, sau đó trả lại nó mà không bị chú ý. Hãy đọc qua bài đăng của [Jochen] để biết được giải thích kỹ lưỡng hơn về những gì đang diễn ra.

Ngun: hackaday.com

Bạn đang đọc bài: Một cái nhìn gần gũi hơn về năng lượng tiết lộ khóa riêng tư tại Tin tức

Biên soạn & sản xuất nội dung: bigcoinvietnam.com

Tags
Chia sẻ  
  
  
  
100% Rating
Điểm: 5 / 5
1 Bình chọn

StevenPalley

Đội ngũ dịch bài từ các trang web uy tín ở nước ngoài. Với sự đánh giá cao của các chuyên gia

[Tin tức 26/05] Người dùng ví Ledger và Trezor có thể gặp rủi ro sau khi hacker đề nghị bán thông tin cá nhân


Người dùng ví Ledger và ví Trezor có thể gặp rủi ro sau khi hacker đề nghị bán thông tin cá nhân

Người dùng ví phần cứng Ledger và Trezor có thể gặp rủi ro sau khi hacker đề nghị bán thông tin người dùng. Các cơ sở dữ liệu có được thông qua khai thác Shopify. Tin tặc cũng tuyên bố có cơ sở dữ liệu SQL đầy đủ cho BankToTheFuture.

 

 

Tin tặc cung cấp chi tiết người dùng về ví HD

Dường như các hacker đang rao bán thông tin cá nhân của khách hàng từ nhiều nền tảng dịch vụ tài chính lớn, bao gồm Trezor và Ledger, KeepKey, Bank to the Future và LoanBase. Ngoài ra, hacker cũng nhắm mục tiêu vào người dùng của diễn đàn Ethereum nổi tiếng, Ethereum.org. Điều này phản ánh một cuộc tấn công tương tự vào Ethereum.org vào năm 2016 khi tin tặc tìm cách trích xuất thông tin cá nhân của 16.500 người dùng trên diễn đàn ETH.

Gần đây, kênh Twitter chính thức của Trezor đã sớm đăng một tuyên bố rằng Trezor không sử dụng Shopify; tuy nhiên, họ sẽ bắt đầu tiến hành điều tra ngay lập tức về sự việc này.

 

Các cuộc tấn công của Ransomware đang bùng nổ trong ngành giáo dục

Một báo cáo của Verizon nhấn mạnh rằng số vụ tấn công ransomware đang ngày càng gia tăng trong các các dịch vụ về giáo dục. Theo báo cáo Điều tra Vi phạm Dữ liệu của Verizon năm 2020, các cuộc tấn công ransomware chiếm khoảng 80% trong tất cả các cuộc tấn công mạng phải chịu.

Dữ liệu chỉ ra rằng, 92% các sự cố này được thúc đẩy bởi lý do tài chính, trong khi chỉ có 3% nhằm thực hiện các hoạt động gián điệp đối với các doanh nghiệp hoạt động trong lĩnh vực giáo dục.

Các cuộc tấn công của Ransomware đang phát triển với tốc độ đáng báo động. Theo thống kê, các cuộc tấn công ransomware thường được thực hiện thông qua các trang web giả mạo hơn là qua email.

 

Sinh viên thất nghiệp tại Hàn Quốc đang ngày càng quan tâm đến Blockchain

Đại học Daejeon đã đưa ra một thông báo chính thức vào ngày 25 tháng 5 rằng họ sẽ mở một bộ phận fintech mới có tên là “Future Convergence”.

Theo thông báo được công bố bởi tạp chí Daejeon, chương trình giảng dạy sẽ bao gồm các chủ đề như chăm sóc sức khỏe thông minh, thành phố thông minh, nhà máy thông minh và các lĩnh vực việc làm khác nhau trong các tổ chức y tế bằng cách triển khai công nghệ blockchain.

Các trường đại học ở Hàn Quốc đang tăng cường thiết lập chương trình giáo dục liên quan đến blockchain, big data và trí tuệ nhân tạo trong bối cảnh khủng hoảng đất nước của những sinh viên tốt nghiệp đại học đang gặp khó khăn trong việc tìm kiếm việc làm. Bộ phận fintech mới của Daejong hy vọng rằng công việc được thực hiện ở đó sẽ thúc đẩy tài năng của cuộc cách mạng công nghiệp lần thứ 4.

Hàn Quốc tiếp tục thúc đẩy ngành công nghiệp blockchain

Chính phủ Hàn Quốc tiếp tục duy trì lập trường tích cực đối với sự phát triển của ngành công nghiệp blockchain của đất nước.

Vào ngày 27 tháng 3, hai bộ đã tuyên bố hỗ trợ cho ngành công nghiệp bằng cách phân bổ tới 3,2 triệu đô la tài trợ cho các công ty khởi nghiệp địa phương và thúc đẩy việc tạo việc làm mới ở đó.

 

Visa chấp thuận thẻ tiền điện tử kích hoạt DeFi mới ở EU và vương quốc Anh

Công ty khởi nghiệp Swiss DeFi Eidoo hợp tác với thành viên chính của Visa Châu Âu để phát hành thẻ ghi nợ Visa crypto mới.

Theo thông báo vào ngày 25 tháng 5, Eidoo sẽ cho phép 40 triệu thương nhân sử dụng Visa chấp nhận các loại tiền tệ fiat có nguồn gốc từ tiền điện tử, bao gồm bảng Anh (GBP) và euro (EUR).

Nikola Tchouparov, đồng sáng lập và giám đốc điều hành tại Moneyprint, nhấn mạnh tính chất độc đáo dựa trên stablecoin của thẻ ghi nợ tiền điện tử của Eidoo. Ông chia sẻ, đây sẽ là lần đầu tiên phần phụ trợ của thẻ tiền điện tử được thực hiện thông qua stablecoin và DEXes.

Theo: BigcoinVietnam tổng hợp

Thảo luận thêm tại:

Email: Bigcoinvietnam@gmail.com

Hotline: (+84) 972 678 963

Facebook Fanpage: + https://www.facebook.com/Bigcoinvietnam/

Telegram: https://t.me/bigcoinvietnam

Twitter: https://twitter.com/bigcoinvietnam

Youtube channel: https://www.youtube.com/channel/UCSqu48gRo3ClM71WAUgFgxQ

Tags
Chia sẻ  
  
  
  
100% Rating
Điểm: 5 / 5
1 Bình chọn