Ajastusrünnak on teatud tüüpi külgkanali rünnak küberturvalisuse valdkonnas, mis kasutab ära krüptoalgoritmide täitmiseks kuluva aja erinevusi. Neid ajastuse erinevusi analüüsides saavad ründajad järeldada tundlikku teavet kasutatavate krüptograafiliste võtmete kohta. Selline ründevorm võib seada ohtu süsteemide turvalisuse, mis tuginevad andmekaitseks krüptograafilistele algoritmidele.
Ajastusrünnaku korral mõõdab ründaja aega, mis kulub krüptograafiliste toimingute (nt krüpteerimine või dekrüpteerimine) sooritamiseks, ja kasutab seda teavet krüptovõtmete üksikasjade tuletamiseks. Põhimõte on see, et erinevad toimingud võivad sõltuvalt töödeldavate bittide väärtustest võtta veidi erineva aja. Näiteks 0 biti töötlemisel võib toiming algoritmi sisemise töö tõttu võtta vähem aega kui 1 biti töötlemine.
Ajastusrünnakud võivad olla eriti tõhusad selliste rakenduste vastu, millel puuduvad piisavad vastumeetmed nende haavatavuste leevendamiseks. Üks levinumaid ajastusrünnete sihtmärke on RSA-algoritm, kus modulaarne astendamine võib salajase võtme bittide põhjal avaldada ajastuse variatsioone.
Ajastusrünnakuid on kahte peamist tüüpi: passiivsed ja aktiivsed. Passiivse ajastuse rünnaku korral jälgib ründaja süsteemi ajastuskäitumist, ilma et see seda aktiivselt mõjutaks. Teisest küljest hõlmab aktiivne ajastusrünnak seda, et ründaja manipuleerib aktiivselt süsteemiga, et tuua sisse ajastuse erinevusi, mida saab ära kasutada.
Ajastusrünnakute vältimiseks peavad arendajad rakendama turvalisi kodeerimisvõtteid ja vastumeetmeid. Üks lähenemine on tagada, et krüptoalgoritmidel oleks konstantse aja teostus, kus täitmisaeg ei sõltu sisendandmetest. See välistab ajastuse erinevused, mida ründajad võivad ära kasutada. Lisaks võib juhuslike viivituste või pimestamismeetodite kasutuselevõtt aidata potentsiaalsetele ründajatele saadaolevat ajastusteavet hägustada.
Ajastusrünnakud kujutavad endast olulist ohtu krüptosüsteemide turvalisusele, kuna kasutavad ära algoritmi täitmise ajastuse variatsioone. Rünnakute ajastuse taga olevate põhimõtete mõistmine ja asjakohaste vastumeetmete rakendamine on olulised sammud tundliku teabe kaitsmisel pahatahtlike osalejate eest.
Muud hiljutised küsimused ja vastused selle kohta EITC/IS/ACSS täiustatud arvutisüsteemide turvalisus:
- Millised on praegused näited ebausaldusväärsete salvestusserverite kohta?
- Millised on allkirja ja avaliku võtme rollid sideturbes?
- Kas küpsiste turvalisus on SOP-iga (sama päritolupoliitika) hästi kooskõlas?
- Kas saidiülese päringu võltsimise (CSRF) rünnak on võimalik nii GET-päringu kui ka POST-päringu korral?
- Kas sümboolne teostus sobib hästi sügavate vigade leidmiseks?
- Kas sümboolne täideviimine võib hõlmata teetingimusi?
- Miks käitatakse mobiilirakendusi tänapäevaste mobiilseadmete turvalises enklaavis?
- Kas on olemas lähenemine vigade leidmiseks, mille tarkvara turvalisust saab tõestada?
- Kas mobiilseadmete turvalise alglaadimise tehnoloogia kasutab avaliku võtme infrastruktuuri?
- Kas kaasaegses mobiilseadme turvalises arhitektuuris on failisüsteemi kohta palju krüpteerimisvõtmeid?
Vaadake rohkem küsimusi ja vastuseid jaotises EITC/IS/ACSS Advanced Computer Systems Security