Side-Channel Attacks (auf deutsch Seitenkanalattacke) definiert Wikipedia als kryptoanalytischen Angriff gegen die Implementierung eines kryptographischen Verfahrens, also in der Regel die konkrete Hardware/Software die eine Verschlüsselung durchführt. Informationen über die Verschlüsselung können dabei z.B. aus der Laufzeit des Algorithmus, der Stromaufnahme des Prozessors oder elektromagnetischer Abstrahlung gewonnen werden. Vor ein paar Jahren waren Side-Channel Angriffe noch so obskur, dass sich kaum jemand damit beschäftigte. Inzwischen sind sie Mainstream und Programmierer und Entwickler sollten sich daher Gedanken machen wie eine konkrete Implementierung vor diesen Angriffen geschützt werden kann.
Harko Robroch hält auf der kommenden RSA Conference dazu einen Vortrag der sich mit genau diesen Themen beschäftigt, schreibt The Register:
- One simple trick is to vary password verification routines. „When you do a string compare to check a password, for example, to make it efficient you usually start with the first character and work through in sequence. If you hit a wrong character you throw it out. By measuring the time taken to do the check, a side-channel scan can identify which characters have been accepted. So you can protect the password by not checking it in sequence,“ he said.
Besonders betroffen sind immer noch schlüssellose Systeme wie wir seit geraumer Zeit wissen.
Apropos: Verwendet tatsächlich irgendjemand den Begriff Seitenkanalattacke? Ich musste in meinem Studium, das war so ca. 1998 mal eine Präsentation über Threaded Programming und Stack-Konflikte komplett in deutsche Begriffe übersetzen. Interessanterweise konnten die Zuhörer mit „nebenläufiger Programmierung“ und „Kellerspeicher“ damals schon so wenig damit anfangen wie ich heute mit der Seitenkanalattacke.