Smart card persa: estrai la chiave privata?

In condizioni di laboratorio, sono possibili attacchi del genere:

link

Tuttavia, la maggior parte dei furti nel mondo reale sono semplici problemi di afferrare e afferrare per hardware costoso che produce poche monete per il ladro, e raramente i dati crittografati sono a rischio. Se un utente malintenzionato desiderava ottenere i tuoi dati crittografati specifici, probabilmente tenterebbe di intercettare il tuo uso della macchina senza farti sapere che l'hanno rubato.

Sì, una volta che hanno tutti i dati, hanno tutti i dati. Periodo, fine della storia.

Ora, per la parte più confusa, la maggior parte delle smart card si prende molta cura di renderla difficile. Alcuni avranno un'interfaccia PIN che cancella la carta dopo N tentativi falliti. Alcuni faranno cose come mettere l'alluminio in polvere sopra la parte superiore del chip di memoria, in modo che qualsiasi tentativo di macinare la strada nel chip per leggere direttamente la memoria scioglierà il chip. Ma è progettato solo per aumentare la difficoltà di tali esercizi.

Se ci pensi, se riuscissi a ottenere qualcosa di perfetto, disinnescare le bombe sarebbe un'arte molto più difficile, non è vero?

Ho letto un articolo di qualche anno fa che ha attaccato un canale laterale su una smart card misurando le variazioni di assorbimento di potenza della microampa mentre venivano eseguite le istruzioni. Sono stati in grado di estrarre la chiave AES osservando la lunghezza dei loop che sono stati eseguiti.

In breve, la regola è sempre "se hanno accesso fisico ai tuoi dati, nulla può impedirgli di usarli". Questo vale per la crittografia in stile quantistico (che potrebbe trasformare i dati in rumore se inserisci la password sbagliata).

1. In genere, a meno che la persona che ha la tua carta e il tuo laptop sappia / indovina il tuo PIN, non dovrebbe essere in grado di estrarre la chiave privata. Una volta indovinato il codice PIN, tutte le scommesse sono disattivate perché hanno superato il metodo di autenticazione a due fattori di qualcosa che hai (la smart card) e qualcosa che conosci (il PIN). Ma ricorda, un PIN a 8 cifre significa uno spazio chiave di 10 ^ 8 o 100 milioni di possibilità PIN.

   La maggior parte delle implementazioni di lettori di smart card utilizzati per accedere a un laptop / account dovrebbe avere una sorta di protezione contro un attacco di forza bruta, ad esempio, dopo 3 tentativi falliti il lettore di schede è bloccato e sono necessarie interferenze umane per resettare il PIN (questo succede nella mia azienda). Sembra che le chiavi private siano generalmente generate a bordo della smart card, quindi la chiave privata esisterà solo sulla singola scheda. Ciò significa anche che se si perde la carta non sarà più possibile decrittografare gli elementi crittografati con la propria chiave pubblica.

   Alcune ricerche rapide hanno rivelato che l'analisi differenziale della potenza o della temporizzazione potrebbe consentire a un utente malintenzionato di acquisire conoscenza della chiave privata (a condizione che qualcosa venga crittografato o decifrato attivamente - penso che ciò significhi anche che necessitino del PIN) corrosivi o acidi potrebbero consentire l'accesso al processore interno. (Ma non rivendico la consulenza di esperti su questi argomenti.)

2. Ho solo esperienza con le smart card a contatto, ci sono anche smart card senza contatto e smart card ibride. Apparentemente puoi estrarre alcune informazioni dalle smart card senza contatto, ma penso che la chiave privata debba essere protetta da PIN (e crittografata) e possibilmente non resa disponibile via etere ..