Geschichten aus dem enCRYPT: Anwendungen vor DFA-Angriffen schützen

2023 verspricht ein ereignisreiches Jahr für die Kryptographie zu werden. Wir werden wahrscheinlich unsere ersten Zertifizierungen für FIPS 140-3 und ernsthaftere Untersuchungen davon sehen Auswirkungen des Quantencomputings auf die Verschlüsselung. Darüber hinaus werden wir mehr Schutzmaßnahmen gegen die mächtigen DFA-Angriffe sehen, die Kryptographen sonst zu schaffen machen. 2023 könnte sogar das aufregendste Jahr in der Kryptographie seit 2001 sein, als die (damals) neue Advanced Encryption Standard (AES)-Spezifikation fertiggestellt wurde und der Öffentlichkeit einen mathematisch sicheren und leistungsstarken Verschlüsselungsalgorithmus zur Verfügung stellte.

AES wurde entwickelt, um ältere kryptografische Algorithmen zu ersetzen, die allmählich Schwächen in ihrer Mathematik zeigten und anfällig für die zunehmende Rechenleistung von Angreifern waren, und legte die Macht zurück in die Hände derjenigen, die ihre Daten schützen wollten. Angreifer erkannten schnell, dass Brute-Force-Angriffe und Angriffe auf die AES-Mathematik wirkungslos sein würden und dass sie stattdessen einen neuen Ansatz brauchten.

Mit der ersten Forschungsarbeit zu diesem Thema, die 2002 veröffentlicht wurde, handelt es sich bei der Differential Fault Analysis (DFA) um eine Angriffstechnik, die darauf abzielt, kryptografische Schlüssel aus Apps wiederherzustellen, indem zur Laufzeit „Fehler“ in den Kryptocode der App eingefügt und Änderungen in den Apps beobachtet werden Verhalten. Bei einem Fehler geht es im Wesentlichen darum, innerhalb einer internen Berechnung ein wenig umzudrehen und zu beobachten, was sich ändert. Fehler können auf unterschiedliche Weise injiziert werden, beispielsweise durch unterschiedliche Leistungspegel in Hardwaregeräten oder durch die Änderung von Speicherbits in Software.

Angreifer fügen Fehler in viele verschiedene Teile der App ein, bis sie eine Stelle finden, an der ein Fehler die Ausgabe einer Kryptooperation auf eine bestimmte Weise verändert. Abhängig davon, wie sich die Ausgabe des Kryptovorgangs ändert, können DFA und einige mathematische Berechnungen die Wiederherstellung von Kryptoschlüsseln ermöglichen. Sobald diese Schlüssel wiederhergestellt sind, sind alle damit verschlüsselten Daten angreifbar und gefährdet.

Ursprünglich war DFA ein Angriff in erster Linie gegen Hardwaregeräte, bei denen der Maschinencode für Angreifer nicht ohne weiteres einsehbar war. Der Software-Fall war viel einfacher, da Kryptoschlüssel normalerweise deutlich im App-Code sichtbar waren, wo Tools wie Disassembler problemlos angezeigt werden konnten. Lange Zeit wurde ein Teil des Codes, der Kryptografie durchführte, in einer sicheren Umgebung aufbewahrt, in der Angreifer nicht einfach in den App-Code schauen konnten, um diese Schlüssel zu finden. Zunächst waren diese Umgebungen physisches Eigentum von Technologieunternehmen. Heutzutage ist jedes Unternehmen ein Technologieunternehmen, und die physische und „virtuelle“ Sicherheit von Technologie/Software/Geheimnissen/Schlüsseln liegt in den meisten Fällen in den hervorragenden Händen von Giganten wie AWS, Google Cloud und Microsoft Azure.

Der andere Unterschied, mit dem wir im Jahr 2023 konfrontiert sind, ist, dass ein Großteil der von uns geschaffenen Technologie weder in der (wie wir annehmen) gut geschützten Cloud noch in den Rechenzentren der Unternehmen lebt. Vielmehr leben Software/Technologie und sogar Schlüssel in Apps, die Verbraucher auf ihren Mobiltelefonen, Desktop-Computern, Smart-TVs und Autos haben. Denn Bedrohungsakteure können sich jetzt einfach die Anweisungen ansehen, aus denen die App besteht. Software-Apps benötigen Schutz für ihre kryptografischen Routinen und Schlüssel. Die White-Box-Kryptografie wurde 2002 eingeführt, um genau dieses Problem anzugehen. Im selben Jahr wurde das erste DFA-Papier veröffentlicht.

Die White-Box-Kryptografie wurde eingeführt, um sichere kryptografische Implementierungen in Apps bereitzustellen, bei denen Angreifer den Code und die Daten nach Belieben manipulieren können. White-Box-Kryptografie ist eine Möglichkeit, für eine gegebene Eingabe die gleiche Ausgabe zu erhalten wie eine normale kryptografische Implementierung, die Funktionsweise unterscheidet sich jedoch völlig von einer Standard-Krypto-Implementierung. Dies macht es für einen Angreifer sehr schwierig zu verstehen, was passiert. Aufgrund der Schwierigkeiten, White-Box-Krypto-Implementierungen zu verstehen, begannen Angreifer, aufbauend auf dem Erfolg in der Hardware, DFA als Technik gegen White-Box-Krypto-Implementierungen in Software-Implementierungen einzusetzen.

DFA wird immer häufiger. Verschiedene Sicherheitsforscher sprechen auf Konferenzen über DFA-Angriffe, sie implementieren Hardware- und Software-DFA-Angriffe und veröffentlichen, wie das geht. DFA ist kein reiner Angriff mehr, der auf Hochschulen oder High-End-Sicherheitslabore beschränkt ist. Es gibt reale Angriffe, und mit der Verbreitung und Nutzung des Angriffscodes nimmt die Häufigkeit der gemeldeten Angriffe zu.

Da DFA immer effektiver und einheitlicher wird, müssen Sie unbedingt sicherstellen, dass Ihre Abwehrmaßnahmen Schritt halten und weiterhin in der Lage sind, die kryptografischen Routinen in Ihrer App zu schützen. Sie können mehrere Schritte unternehmen, um sicherzustellen, dass Sie sich so gut wie möglich gegen DFA-Angriffe verteidigen.

Die erste besteht darin, sicherzustellen, dass Sie eine moderne White-Box-Kryptographie-Implementierung verwenden, die zum Schutz vor DFA entwickelt wurde und von einem seriösen Dritten getestet wurde. Da die Angriffe mit der Zeit immer ausgefeilter werden, ist es wichtig, eine White-Box-Implementierung zu verwenden, die aktiv weiterentwickelt wird, um mit neuen Angriffen Schritt zu halten.

Zweitens sollten Sie sicherstellen, dass Ihre Anwendung App-Abschirmung verwendet (auch bekannt als In-App-Schutz oder Code-Verschleierung, Manipulationsschutz und Anti-Code-Lifting-Techniken), um es Angreifern von vornherein zu erschweren, einen DFA-Angriff durchzuführen. Anwendungen mit Verschleierung machen es Angreifern schwer zu verstehen, wo sie Fehler einschleusen können, und Anwendungen, die erkennen können, wenn sie angegriffen werden (auch bekannt als Apps mit Manipulationsschutz), können sofort Maßnahmen ergreifen, um den Angriff zu stoppen, bevor er fortschreitet.

Weitere Informationen zum Schutz Ihrer Mobil-, Desktop- und Server-Apps finden Sie in unserem Digital.ai Lösungsübersicht für White-Box-Kryptographie.