计时攻击

在计算机安全中,计时攻击(Timing attack)是旁道攻击 (Side-channel attack) 的一种,而旁道攻击是根据计算机处理过程发出的信息进行分析,包括耗时,声音,功耗等等,这和一般的暴力破解或者利用加密算法本身的弱点进行攻击是不一样的。

举个例子

假如您有一个后端 webapi, GetConfig 接口用来获取配置信息,调用时需要在 Header 中传入一个秘钥,然后判断是否正确并进行返回,如下

X-Api-Key: x123


[HttpGet]

public IActionResult GetConfig()

{

    var key = Request.Headers["X-Api-Key"].FirstOrDefault();

    if (key != "x123")

    {

        return Unauthorized();

    }

    return Ok(configuration);

}

注意,这里我们为了判断两个字符串相等,通常会使用 == 或者 != , 实际上背后使用了 String 的 Equals() 方法,如下

// Determines whether two Strings match.

public static bool Equals(string? a, string? b)

{

    if (object.ReferenceEquals(a, b))

    {

        return true;

    }

    if (a is null || b is null || a.Length != b.Length)

    {

        return false;

    }

    return EqualsHelper(a, b);

}

而内部又使用了 SequenceEqual() 方法

[MethodImpl(MethodImplOptions.AggressiveInlining)]

private static bool EqualsHelper(string strA, string strB)

{

    Debug.Assert(strA != null);

    Debug.Assert(strB != null);

    Debug.Assert(strA.Length == strB.Length);

    return SpanHelpers.SequenceEqual(

            ref Unsafe.As<char, byte>(ref strA.GetRawStringData()),

            ref Unsafe.As<char, byte>(ref strB.GetRawStringData()),

            ((uint)strA.Length) * sizeof(char));

}

大概的逻辑是,先判断两个字符串长度是否一致,如果不是,直接返回 false,然后循环字符串进行逐位对比,一旦发现不相同,直接返回 false,伪代码如下

public bool Equals(string str1, string str2)

{

    if (str1.Length != str2.Length)

    {

        return false;

    } 

    for (var i = 0; i < str1.Length; i++)

    {

        if (str1[i] != str2[i])

        {

            return false;

        }

    } 

    return true;

}

这里有一个问题是,如果字符串第一位不相同,直接就返回 false,如果最后一位不相同,那就需要遍历到最后,然后返回 false。不一样的字符串,计算的时长可能不一致。

尝试破解

假如用户知道了我们的秘钥的固定长度是 4 位。

GET /GetConfig

X-Api-Key:a000

Cost: 2ns

本次耗时了 2ns, 接下来又输入 b000, c000....

GET /GetConfig

X-Api-Key:b000

Cost: 2ns

GET /GetConfig

X-Api-Key:c000

Cost: 2ns 

...

GET /GetConfig

X-Api-Key:x000

Cost: 4ns

直到输入了 x000, 发现其他的耗时都是 2ns, 而这里是 4ns,大概率判定第一位是 x。

注意,这里的测试进行了放大,可能每个 case 分别调用了 100 次,然后统计了 P50(中位数)得出的结果。

然后用同样的方法,测试第二位,第三位....., 最终破解拿到了秘钥。

使用固定时间的算法

虽然看上去有点扯,但确实是真实存在的,包括大名鼎鼎的针对 TLS 的 Lucky 13 攻击,有兴趣的同学可以看一下。在安全性要求比较高的场景中,确实要考虑到计时攻击,当涉及到安全时,还是宁可信其有。

所以我们的算法的执行耗时应该是固定的,不应该在不匹配时,就立即返回,我们尝试改造一下代码

public bool Equals(string str1, string str2)

{

    if (str1.Length != str2.Length)

    {

        return false;

    }

    bool reult = true;

    for (var i = 0; i < str1.Length; i++)

    {

        if (str1[i] != str2[i])

        {

            reult = false;

        }

    }

    return reult;

}

不管怎么样,都会遍历完整个字符串,然后返回结果,看上去没什么问题,时间总是固定的,但在现代的 CPU 和 .NET 上却不是的,因为我们要考虑到分支预测,特别是 if 条件。

好吧,那我们调整一下代码

public bool Equals(string str1, string str2)

{

    if (str1.Length != str2.Length)

    {

        return false;

    }

    bool reult = true;

    for (var i = 0; i < str1.Length; i++)

    {

       reult &= str1[i] == str2[i];

    }

    return reult;

}

我们用了运算符 &,来代替 If, 只有全部为 true 时,才会返回 true,其中任意一个字符不匹配,就会返回 false,看上去不错。

但是,还有一些问题,对于bool类型的 result (true/false), 我们的 .NET JIT 和 x86 指令执行仍然会进行一些优化,我们再调整一下代码

public bool Equals(string str1, string str2)

{

    if (str1.Length != str2.Length)

    {

        return false;

    }

    int reult = 0;

    for (var i = 0; i < str1.Length; i++)

    {

       reult |= str1[i] ^ str2[i];

    }

    return reult == 0;

}

我们把 bool 改成了 int 类型,然后使用了运算符 ^ 和 |,同样的,只有字符串全部匹配时,result 为 0,,才会返回 true, 其中任意一个不匹配,result 就不为 0,会返回 false。

最后,为了防止 JIT 对我们的代码进行其他的优化,我们可以加一个特性,告诉 JIT 不要管它,就像这样

[MethodImpl(MethodImplOptions.NoInlining | MethodImplOptions.NoOptimization)]

public bool Equals(string str1, string str2)

{

    if (str1.Length != str2.Length)

    {

        return false;

    }

    int reult = 0;

    for (var i = 0; i < str1.Length; i++)

    {

       reult |= str1[i] ^ str2[i];

    }

    return reult == 0;

}

上面我们实现了一个针对字符串比较的固定时间的算法,来应对计时攻击。

实际上, 从 .NET Core 2.1 开始就已经做了内置支持,我们可以直接使用 FixedTimeEquals 方法, 看一下它的实现

[MethodImpl(MethodImplOptions.NoInlining | MethodImplOptions.NoOptimization)]

public static bool FixedTimeEquals(ReadOnlySpan<byte> left, ReadOnlySpan<byte> right)

{

    if (left.Length != right.Length)

    {

        return false;

    }

    int length = left.Length;

    int accum = 0;

    for (int i = 0; i < length; i++)

    {

        accum |= left[i] - right[i];

    }

    return accum == 0;

}

现在用起来也很方便:

var result = CryptographicOperations.FixedTimeEquals(

   Encoding.UTF8.GetBytes(str1), Encoding.UTF8.GetBytes(str2)

);

总结

在安全性比较高的场景中,应该要考虑到计时攻击,可以使用固定时间的算法来应对。在其他的开发语言中,也都有本文中类似的算法,而在 .NET 中,现在我们可以直接使用 CryptographicOperations.FixedTimeEquals。

在 .NET 中使用 FixedTimeEquals 应对计时攻击的更多相关文章

  1. 阿里云容器服务--配置自定义路由服务应对DDOS攻击

    阿里云容器服务--配置自定义路由服务应对DDOS攻击 摘要: 容器服务中,除了slb之外,自定义路由服务(基于HAProxy)也可以作为DDOS攻击的一道防线,本文阐述了几种方法来应对普通规模的DDO ...

  2. 解密DNSPOD应对DDoS攻击招式!

    最近,安全专家Incapsula在最新版<DDoS威胁环境报告>指出.现在实施DDoS攻击的人仅仅有两类:一类是专业网络黑客.而还有一类就是所谓的botter. 简言之,booter就是僵 ...

  3. Laravel5中防止XSS跨站攻击的方法

    本文实例讲述了Laravel5中防止XSS跨站攻击的方法.分享给大家供大家参考,具体如下: Laravel 5本身没有这个能力来防止xss跨站攻击了,但是这它可以使用Purifier 扩展包集成 HT ...

  4. 拆招黑客!github代码库大牛们如何应对黑客攻击

    2019年05月,<个人电脑杂志>网站报道,GitHub(2018年被微软收购)代码库正遭到一名黑客的入侵(392个资源库受损,约1000名用户受到攻击,真实资料未知).据称,这名黑客先擦 ...

  5. 应对黑客攻击SQL SERVER数据库中的一个案例

    最近发现挂在网上server不知怎的,重新启动,那server现在主要是开始IIS服务,SQL SERVER 服务. 远程登录.发现系统响应十分缓慢.一个明显的停滞感,打开任务管理器,CPU在基本用法 ...

  6. ASP.NET WebForm中异步请求防止XSRF攻击的方法

    在ASP.NET MVC中微软已经提供了如何防止跨域攻击的方法.对于传统Webfrom中使用Handler来接受ajax的Post请求数据,如何来防止XSRF攻击呢.这里给大家提供一个简单地方法,和M ...

  7. ajax中加上AntiForgeryToken防止CSRF攻击

    经常看到在项目中ajax post数据到服务器不加防伪标记,造成CSRF攻击 在Asp.net Mvc里加入防伪标记很简单在表单中加入Html.AntiForgeryToken()即可. Html.A ...

  8. ASP.NET MVC中防止跨站请求攻击(CSRF)

    转载   http://kevintsengtw.blogspot.co.nz/2013/01/aspnet-mvc-validateantiforgerytoken.html 在 ASP.NET M ...

  9. .Net Core 项目中添加统一的XSS攻击防御过滤器

    一.前言 最近公司内部在对系统的安全进行培训,刚好目前手里的一个.net core 项目中需要增加预防xss的攻击,本文将大概介绍下何为XSS攻击以及在项目中如何统一的预防XSS攻击. 二.XSS简介 ...

随机推荐

  1. MongoDB从bson文件中恢复数据

    首先需要到mangodb的安装目录的bin下面找到mongorestore.exe WIN10系统MongoDB安装目录bin文件夹下没有mongorestore.exe 先下载工具  https:/ ...

  2. 【每日日报】第十八天 ----java最全排序方法

    1 今天看了Java的第三章 2 冒泡法排序: package Line; import java.util.Arrays; public class MaoPao { public static v ...

  3. CSS简单样式练习(四)

    运行效果: 源代码: 1 <!DOCTYPE html> 2 <html lang="zh"> 3 <head> 4 <meta char ...

  4. Python IDLE清屏

    在学习和使用Python的过程中,少不了要与Python IDLE打交道.但使用 Python IDLE 都会遇到一个常见而又懊恼的问题--要怎么清屏? 答案是为IDLE增加一个清屏的扩展ClearW ...

  5. node的两种随起随用静态服务器搭建

      一. anywhere Anywhere是一个随启随用的静态服务器,它可以随时随地将你的当前目录变成一个静态文件服务器的根目录. 1.确定电脑上安装了node.js 2.在当前所在项目文件夹下输入 ...

  6. python---替换空格

    """ 请实现一个函数,将一个字符串中的每个空格替换成"%20". 例如,当字符串为We Are Happy.则经过替换之后的字符串为We%20Are ...

  7. 演示默认学习用户scott,默认密码是tiger

    默认学习用户scott,默认密码是tiger oracle@prd:/home/oracle$sqlplus /nolog SQL> conn scott/tiger ERROR: ORA-28 ...

  8. Qt 实现文字输入框,带字数限制

    Qt 实现文字输入框,带字数限制 核心构思 核心的点在于,限制输入的字数:主要的方法为创建一个组合窗口 textChanged 这个信号,会在你输入字符之后发射,可以连接这个信号,在发射了信号之后,去 ...

  9. GO语言学习——基本数据类型——整型、浮点型、复数、布尔值、fmt占位符

    基本数据类型 整型 整型分为以下两个大类: 按长度分为:int8.int16.int32.int64 对应的无符号整型:uint8.uint16.uint32.uint64 其中,uint8就是我们熟 ...

  10. Hyperledger Fabric无排序组织以Raft共识算法启动多个Orderer服务、多组织共同运行维护Orderer服务

    前言 在Hyperledger Fabric无系统通道启动及通道的创建和删除中,我们已经完成了以无系统通道的方式启动 Hyperledger Fabric 网络,并将链码安装到指定通道.但目前为止,实 ...