プログラミング

実装の隙を突く「タイミング攻撃」とは?

最近のソフトウェア業界で話題になったIntel製CPUの脆弱性(SpectreとMeltdown)ですが、あれはCPUが持つ「投機的実行」という機能の隙を突き、そこに「タイミング攻撃」という手法を組み合わせたものになっています。

投機的実行の問題については、ハードウェアの実装上の話なので、「ソフトじゃどうしようもできないよなぁ…」なんて思ったりしたのですが、「タイミング攻撃」についてはこれまで知らなかったこともあり、個人的には驚きでした。

ということで、今回は勉強の意味も込めてタイミング攻撃を手元で再現させてみることにします。

タイミング攻撃とは?

タイミング攻撃とは、その名の通りソフトウェアが実行されるタイミング(応答時間)を利用した攻撃です。

大抵の処理はその一連の中に分岐や繰り返しなどの制御を含んでいます。そして、入力から出力に至るまでにそれらの制御を通るか通らないかで、最終的な応答時間はわずかに変化することになります。

タイミング攻撃では、攻撃対象の処理の実装を分析して応答時間が変化する要因を見つけることで、入力とその応答時間から隠されたデータ(パスワードなど)の特定を試みます。

実際に試してみた

今回はタイミング攻撃の代表例としてパスワードの検証処理を試してみます。

検証用の処理

今回はタイミング攻撃の検証用に以下のような関数を実装しました。この処理は、入力された文字列を1文字づつ検証して、中に持つ正解パスワード(corgi-lab)と一致しているかを判定します。ちなみに正解なら0、それ以外は1を返します。

この処理の脆弱性

文字列の判定という機能面ではこの処理に問題はありませんが、判定にかかる時間の面では問題があります。

この処理は、入力文字列の先頭から1文字ずつチェックし、一致しない文字が出たら直ちに結果を返すような実装になっています。無駄な処理を回さないという意味では効率的ですが、先頭から一致している部分文字列が長ければ長いほど、forループの実行回数が増えて応答に時間がかかることになります。

つまり、入力文字列を少しづつ変えてその応答時間を見てあげれば、隠されたパスワードをあぶり出すことができてしまうのです(´・ω・`)

タイミング攻撃の実例

以下、さきほどの処理に対するタイミング攻撃のサンプルコードです。入力文字列の1文字目を’a’〜’z’まで変化させたうえで2000万回実行し、その応答時間を取得します。

このコードを実行したところ、入力の先頭文字によって応答時間が以下のように変化しました。グラフは横軸が先頭文字、縦軸が応答時間(ミリ秒)です。

先頭文字が’c’のときに突出して時間がかかっていることがわかります。これは、正解パスワードの1文字目が一致している分、多くループ処理が実行されているからです。同様に、2文字目以降も応答時間を見てあげることで類推することが可能です。

まとめ

今回はかなり極端な例での検証でしたが、タイミング攻撃により隠されたデータを類推することができました。

現実では、パスワードの検証は平文ではなくハッシュ値に変換された後の文字列を比較するなど、ちゃんとセキュリティ面を考慮した実装になっているため、そう簡単に今回のような攻撃ができるわけではありません。

しかし、機能的には正しく動いても用途と環境によっては、実装自体がセキュリティホールになり得ることは肝に銘じておかなければいけないなと感じました。

ちなみに当然のことですが、今回はあくまでも検証用のコードに対する実験です。実際の製品やサービスに対する攻撃は犯罪なので絶対にしないようにしてくださいm(_ _)m

ではではノシ

広告の表示がブロックされています。
広告の表示がブロックされています。

関連記事

C++ 自作物

2020/8/14

言語処理系をつくろう(第7回):比較演算子を実装する

自作の言語処理系開発日記の第7回です。前回までで変数の実装が終わったので、ここからはいよいよ制御構文を実装…と思ったのですが、制御のためには比較演算子を実装する必要がありました。 ということで、今回は比較演算子を実装していきます。基本的には四則演算と変わりないのであまり難しくはありません。 目次1 比較演算子の仕様2 実装してみる2.1 トークナイザ2.2 構文解析器2.3 コード生成器2.4 実行系(仮想マシン) 比較演算子の仕様 比較演算子を実装する前に、その仕様について少し考えておきます。 比較演算 ...

この記事を読む

C++ 自作物

2020/8/14

言語処理系をつくろう(第6回):変数を実装する

自作の言語処理系開発日記、第6回です。 これまでは四則演算など、電卓レベルの機能実装に取り組んでいましたが、いよいよ変数を扱えるようにしていきたいと思います。これでかなりプログラミング言語っぽくなるかも(・∀・) 今回は新しい仕組みを入れたりと、割と修正がごちゃごちゃしてしまったので、うまくまとめきれていません。ごめんなさい…。 目次1 変数の実装について2 実装してみる2.1 トークナイザ2.2 構文解析器2.3 コード生成器2.4 実行系(仮想マシン) 変数の実装について これまでは即値しか扱っていな ...

この記事を読む

C++ 自作物

2020/8/14

言語処理系をつくろう(第5回):連続した式の実行

自作の言語処理系開発日記の第5回です。 前回までで括弧を含んだ四則演算ができるようになりましたが、このままでは単なる電卓止まりです。ということで、今回は複数の式を連続して実行できる仕組みを実装していきたいと思います。 目次1 生成規則を考える2 実装してみる2.1 構文解析器2.2 コード生成 生成規則を考える これまでは入力全体を1つの式として解釈していましたが、今回は式の区切りを定義して複数の式として解釈できるようにします。 C言語だと「;」や「,」が区切り文字として使われますが、開発中の言語(roo ...

この記事を読む

C++ 自作物

2020/8/14

言語処理系をつくろう(第4回):括弧付き計算と単項演算子

自作の言語処理系開発日記の第4回です。前回までで乗除算を実装できたので、この調子でもう少し複雑な計算に対応したいと思います。今回はそれぞれの実装が少ないので、一気に2つのステップを進めます。 目次1 括弧を含む計算1.1 生成規則をいじる2 単項演算子(+と-)2.1 生成規則をいじる 括弧を含む計算 これまでの実装では、乗除算は必ず加減算に先立って実行されます。しかし、それでは不十分なので、括弧を含む計算(例:(1+2)*3)を実行できるようにします。 生成規則をいじる 今回も構文解析器の生成規則を修正 ...

この記事を読む

C++ 自作物

2020/8/14

言語処理系をつくろう(第3回):乗除算を実装する

自作の言語処理系開発日記の第3回です。前回は加減算を実装したので、今回は乗除算の実装にチャレンジしていきます。 目次1 実装してみる1.1 構文解析器 実装してみる 今回の実装において、トークナイザ・コード生成器・実行系(仮想マシン)については加減算のときと変わりません。単純に各種定義を追加して、それを扱えるようにしてあげるだけです。 一方、構文解析器についてはちょっとややこしいので、そこだけ解説します。 構文解析器 加減算では演算の優先順位がなかったので、単純に左結合(=左から順に計算していく)で処理し ...

この記事を読む

  • このブログの中の人
アバター

Ryo Yoneyama

とある会社でソフトウェアエンジニアをしています。技術的な備忘録を中心にまとめてます。ネタがあれば日記も書きます。

-プログラミング

© 2020 Corgi Lab. ~備忘録のための技術ブログ~