TẤN CÔNG TIÊM LỖI
FIA là tấn công được thực hiện một cách cố ý lên với mục đích làm cho thiết bị rò rỉ khóa bí mật [1]. Các lỗi được đưa vào sẽ gây trục trặc tạm thời cho thiết bị dưới dạng nhiễu loạn (do lỗi lật 1 hay vài bit bộ nhớ). Vì thiết bị vẫn tiếp tục hoạt động nên sự nhiễu loạn được lan truyền đến các vị trí nhớ khác, rồi dần gây lỗi và làm sai lệch kết quả đầu ra (còn gọi là các bản mã lỗi). Nếu lỗi được tiêm vào chính xác và có những thuộc tính xác định, tin tặc có thể sử dụng bản mã lỗi đó để tìm ra khóa bí mật.
Nhiều nghiên cứu chỉ ra rằng, các đối xứng và bất đối xứng đều dễ bị tấn công trước FIA. Năm 1997, Boneh, DeMillo và Lipton đã chỉ ra rằng việc triển khai RSA sử dụng định lý phần dư Trung Hoa (Chinese Remainder Theorem - CRT) có thể dễ dàng bị phá vỡ bằng cách sử dụng các lỗi [2]. Cũng trong năm đó, Biham và Shamir đã công bố một tấn công được biết đến là phân tích lỗi vi sai (Differential Fault Analysis - DFA), tấn công này có thể phá vỡ hầu hết các hệ thống mật mã đối xứng [3]. DFA có thể tìm được khóa của thuật toán mật mã bằng cách kiểm tra sự khác biệt giữa một bản mã đúng và một bản mã bị lỗi. Tấn công DFA có thể thực hiện thành công trên một số thuật toán mật mã như AES, TWOFISH, PRESENT [4]. Ngày nay, sau khi các cuộc tấn công này được công bố, bên cạnh (Side Channel Attack - SCA) thì FIA cũng là cách tấn công được quan tâm nhiều trong bảo mật phần cứng. Ngoài DFA còn có nhiều phương pháp phân tích đã được công bố như tấn công phân tích lỗi không hiệu quả theo thống kê (Statistical Ineffective Fault Analysis - SIFA), phân tích độ nhạy lỗi (Fault Sensitivity Analysis - FSA), tấn công lỗi mẫu (Fault Template Attacks - FTA) và sự kết hợp giữa FIA và SCA.
Quý độc giả quan tâm vui lòng đọc tiếp tại đây.
TÀI LIỆU THAM KHẢO [1]. Barenghi, L. Breveglieri, I. Koren, D. Naccache, Fault Injection Attacks on Cryptographic Devices: Theory, Practice, and Countermeasures, Proceedings of the IEEE, page 3056-3076, 2012. [2]. Bozzato, R. Focardi, and F. Palmarini. Shaping the glitch: optimizing voltage fault injection attacks. IACR Transactions on Cryptographic Hardware and Embedded Systems, pages 199-224, 2019. [3]. Boneh, R. A. DeMillo, and R. J. Lipton. On the importance of checking cryptographic protocols for faults. In International conference on the theory and applications of cryptographic techniques, pages 37-.51. Springer, 1997. [4]. Samyde, S. Skorobogatov, R. Anderson, and J.-J. Quisquater. On a New Way to Read Data from Memory. In First International IEEE Security in Storage Workshop, pages 65-69. IEEE Computer Society, 2002 |
TS. Đỗ Quang Trung, Nguyễn Như Chiến, Trần Thị Hạnh (Học viện Kỹ thuật mật mã)
10:00 | 24/02/2021
15:00 | 23/11/2020
17:00 | 18/12/2023
Ngày nay, Trí tuệ nhân tạo (AI) hiện diện trong mọi lĩnh vực của đời sống con người, từ kinh tế, giáo dục, y khoa cho đến những công việc nhà, giải trí hay thậm chí là trong quân sự. Học máy là một ứng dụng của trí tuệ nhân tạo cung cấp cho các hệ thống khả năng tự động học hỏi và cải thiện từ kinh nghiệm mà không cần lập trình rõ ràng. Học máy tập trung vào việc phát triển các chương trình máy tính có thể truy cập dữ liệu và sử dụng nó để tự học. Do đó, vấn đề đảm bảo tính riêng tư trong ứng dụng phương pháp học sâu đang là một vấn đề được quan tâm hiện nay.
13:00 | 09/10/2023
Field-programmable gate array (FPGA) là công nghệ vi mạch tích hợp khả trình có tính ưu việt và mức độ ứng dụng phổ biến nhất trong vòng vài chục năm trở lại đây. Ngoài khả năng tái cấu trúc vi mạch toàn cục, một số FPGA hiện đại còn hỗ trợ tái cấu trúc từng bộ phận riêng lẻ (partial configuration) trong khi vẫn đảm bảo hoạt động bình thường cho các bộ phận khác. Đây là chức năng cho phép ứng dụng có thể tái cấu trúc một phần thiết kế theo yêu cầu mà không cần phải ngừng hệ thống để lập trình lại toàn bộ. Bài viết sẽ giới thiệu một hệ thống tái cấu trúc từng phần được xây dựng trên board phát triển Z-turn Xynq-7020 của Xilinx, từ đó đề xuất một phương pháp tái cấu trúc từng phần trong bài toán an toàn thiết kế phần cứng trên nền công nghệ FPGA.
11:00 | 27/01/2023
Các tổ chức/doanh nghiệp nên thực hiện quản lý rủi ro trong suốt chu trình phát triển phần mềm thay vì quay trở về các xu hướng phát triển trước đó. Tần suất xuất hiện rủi ro sẽ tiếp tục tăng nhanh khi các tác động tiêu cực của các lỗi xuất hiện trong chu trình phát triển phần mềm ngày càng nghiêm trọng. Các phương pháp và cách thực hành trước đây về thực hiện quản trị, rủi ro và tuân thủ (GRC) đều xoay quanh các quy trình thủ công, sử dụng bảng tính hoặc nhận dạng hồi tố,… đã quá lỗi thời, không thể bắt kịp với sự phát triển nhanh chóng của công nghệ. Kết quả là, các doanh nghiệp đã đưa quản lý rủi ro vào thời đại kỹ thuật số, biến GRC thành quản lý rủi ro kỹ thuật số (DRM). Những DRM được áp dụng đó đưa ra các quyết định bảo mật tốt hơn, bảo vệ dữ liệu khách hàng và đảm bảo sự hài lòng của các bên liên quan. Việc thực hiện DRM cũng dẫn đến hiệu quả cao hơn thông qua tự động hóa.
16:00 | 19/07/2022
Con người đang sống trong thời kỳ mà phần lớn cuộc sống cá nhân và nghề nghiệp đều phụ thuộc vào các giao dịch trực tuyến như mua hàng, thanh toán hóa đơn và các phần công việc trong thế giới kỹ thuật số. Sự phụ thuộc ngày càng nhiều vào Internet và các mạng kỹ thuật số tuy tiện lợi nhưng cũng mang lại nhiều rủi ro. Sự phát triển một cách nhanh chóng của công nghệ, kèm với đó là số lượng giao dịch trực tuyến ngày càng nhiều và nhịp sống ngày càng nhanh đã vô tình tạo ra những cơ hội cho tội phạm mạng. Do vậy, các nhà cung cấp, đặc biệt là các nhà cung cấp dịch vụ ví điện tử cần đáp ứng mức bảo mật thanh toán cao nhất để đảm bảo với khách hàng rằng dữ liệu và thông tin của họ được an toàn.
Mặc dù, tiền mã hóa đem lại tính an toàn, bảo mật, nhanh chóng, tiện lợi, không chịu sự quản lý của Ngân hàng Trung ương cũng như các cơ quan công quyền, nhưng đây lại là cơ hội để tội phạm rửa tiền lợi dụng thực hiện các hành vi trái pháp luật trên không gian mạng. Bài viết sẽ thông tin tới độc giả các khái niệm, phương thức, thủ đoạn của hoạt động rửa tiền bằng tiền mã hóa. Đồng thời, bài báo đề xuất các giải pháp phòng chống hoạt động phạm tội này tại Việt Nam.
15:00 | 18/12/2023
Với sự phát triển mạnh mẽ của công nghệ thông tin hiện nay, các ứng dụng giải trí, nhắn tin, gọi điện đang dần trở nên phổ biến. Những dịch vụ truyền thông được cung cấp trực tiếp đến người xem thông qua Internet (Over The Top - OTT) trở thành một trong những mục tiêu bị tin tặc tấn công nhiều nhất. Bài báo đưa ra thực trạng sử dụng dịch vụ ứng dụng OTT tại Việt Nam và những thách thức trong công tác bảo đảm an ninh, an toàn thông tin trên các thiết bị di động và dữ liệu cá nhân trong thời gian qua. Từ đó, đưa ra các giải pháp nhằm nâng cao hiệu quả bảo đảm an ninh, an toàn thông tin cho dữ liệu cá nhân người dùng ứng dụng OTT trên nền tảng Internet trong thời gian tới.
09:00 | 27/12/2023