Ataques de canales laterales de Android y AES

6

Estoy trabajando en un proyecto que involucrará comunicación cifrada AES de 128 bits simétrica entre una aplicación de Android y un dispositivo bluetooth. ¿Hay bibliotecas públicas de AES disponibles para Android que incluyan contramedidas contra ataques de poder simple y diferencial?

¿Qué otras técnicas puedo utilizar dentro de la aplicación para protegerme de los ataques de canales laterales?

He visto demostraciones que muestran lo que parece ser un iPhone con claves AES fácilmente comprometidas a través de un canal lateral relativamente simple análisis. ¿Es Android igual de vulnerable?

    
pregunta dgel 01.11.2012 - 20:52
fuente

1 respuesta

2

No tengo conocimiento de ninguna biblioteca de criptografía pública con contramedidas contra ataques de canal lateral basados en el análisis de potencia contra AES (o cualquier otro cifrado simétrico). Hay 2 buenas razones para no pensar siquiera en escribirlas:

  1. Se patentan cargas de técnicas. Es posible que reciba un aviso de eliminación muy rápidamente.
  2. Con el análisis de poder, debe tener acceso físico al dispositivo y, en la mayoría de los casos, también debe poder ejecutar código arbitrario en el dispositivo. Para las aplicaciones de teléfonos inteligentes, es mucho más fácil para el atacante levantar la clave por medios tradicionales (por ejemplo, jailbraking).

En pocas palabras, no uses claves AES importantes en un teléfono con Android (o iPhone) si tus atacantes tienen acceso físico a él. Tenga en cuenta que en el video, el primer ataque se montó en una implementación débil de ECC, no en AES.

Es posible que prefiera abordar los ataques de canal lateral más probables donde el atacante opera desde remotos, como los ataques de tiempo, ataques de caché , o rellenando los ataques de oracle.

Se pueden realizar contramedidas efectivas a nivel de protocolo, independientemente de la biblioteca AES. De lo contrario, podría considerar usar el NDK de Android y la biblioteca de NaCl .

    
respondido por el SquareRootOfTwentyThree 10.11.2012 - 18:44
fuente

Lea otras preguntas en las etiquetas