【大紀元2013年12月27日訊】(大紀元記者蕭軒編譯報導)讀者千萬不要以為登入一個安全網頁就沒後顧之憂了!科學家最近發現了一項可被黑客用來竊取個人資料的新技術:藉由錄下電腦發出的噪音,就能成功入侵電腦。
《每日電訊報》報導,資訊在傳送到伺服器之前,電腦會使用RSA演算法的安全密鑰為資訊加密,確保安全。不過,當電腦在進行資訊解碼時,會產生一組獨特的聲音,或稱中央處理器迴路(CPU loops),它就可被黑客用來提取私人資料。
現在,科學家已經能夠經由手機麥克風,錄下電腦在解密資訊時發出的獨特嗡嗡聲,鑑定特定資訊與聲音的連結後,就能提取資訊,得知信件內容。理論上,這項方法能竊取密碼、帳號或其他登入到網頁上的資訊。
當資訊被輸入到網頁上,然後藉由安全伺服器進行傳遞的過程中,CPU會因為電腦使用RSA運算而產生一串獨特的聲響。RSA運算使用一個公開的密碼,及一個私人的密碼,將資訊打包並安全傳送。
每一個迴路代表一個加密過程的特定步驟,依照資訊被傳送或使用的不同,迴路也會隨之改變。麥克風可錄下這些微弱的聲音,建立一個RSA的圖像。一旦電腦收集到所有4096位元的加密鎖鑰,它會使用一個稱為「鎖鑰提取」的步驟去攻擊提取這些資訊。
整個過程不需要一個小時就能完成,根據研究人員指出,要能有效錄下電腦發出的聲音,低品質的麥克風需擺在電腦附近,高品質的麥克風則可以擺在距離電腦13呎以外的地方。而麥克風和電腦的距離,甚至可藉由使用雷射麥克風或測振儀(vibrometer)而拉大。
為了進行這項解密實驗,研究人員寄出了上千封的加密郵件。電子郵件客戶端必須自動解密這些郵件,而不能單獨開啟任何一封。加密過程所製造的噪音,必須足夠清楚到能夠識別,而且是由一個特殊的軟體稱為GnuPG所製造的才行。
研究人員說,他們並不知道以上任何一個環節改變的話,會對這個過程有多大的影響。他們在一篇「以低頻聲音安全分析提取RSA密鑰」(RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis)的報告中稱:「我們描述了一項新的聲音安全分析密鑰提取攻擊,適用於加密軟體GnuPG當前的RSA。」GnuPG的開發者已對一些漏洞進行修正,現在GnuPG最新的版本是1.4.16。
這項黑客攻擊,能藉由電腦在加密過程發出的聲音,將手提電腦(或其他不同的裝置)完整的4096 bit RSA加密密鑰,在一個小時之內提走。該研究報告說:「我們實驗性地證實了這項攻擊的可行性。無論是藉由擺在電腦旁邊的手機麥克風,或是距離電腦4米以外的敏銳麥克風。」
(責任編輯:張東光)
