使用公钥 (Public Key Cryptography)技术的RSA算法可以进行复杂的加密,同时也可以进行数字签名,因此用于处理机密信息的邮件的加密。 然而,计算机科学家已经展示了一种新的黑客技术,该技术通过*听窃**PC发出的“声音”来解密使用RSA加密的电子邮件。
New attack steals e-mail decryption keys by capturing computer sounds | Ars Technica
http://arstechnica.com/security/2013/12/new-attack-steals-e-mail-decryption-keys-by-capturing-computer-sounds/
通过分析声音破解RSA加密代码的技术发表在特拉维夫大学的Adi Shamir博士,Daniel Jenkin博士和Elan Tromer博士的联合论文《RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis(通过分析低频声音来提取RSA密钥)》中。 第一作者Shamir博士是RSA密码的发明者之一,也是RSA名称中“S”的由来。
Shamir博士的团队通过*听窃**和解析正在解密RSA密码的计算机生成的声音成功提取了4096位RSA私钥。 在上图的实验中
(A)联想ThinkPad T61是目标,
(B)是安装在Brüel&Kjær 4190前置放大器上的Brüel&Kjær 2669话筒头,由柔性臂固定,
(C)是Brüel&Kjær 5935麦克风电源和放大器,
(D)是NI的MyDAQ设备,其A10D输入端带有150 kHz RC低通滤波器,并级联2 kHz RC高通滤波器,
(E) 是执行攻击的笔记本电脑。在此配置中,可以从 1 米的距离提取完整的密钥。
麦克风可以使用了各种各样的器材,其中也包含了一般的智能手机,从智能手机录音的声音中也可以进行密码破解。
这种解密技术需要极其严格的限制条件,例如“在非常靠近目标PC的地方安装麦克风,*听窃**RSA密码破解过程中PC发出的声音”,因此作为一般的黑客技术可能无法普及。 但是,在某些地方和情况下,例如举行重要会议的会议室、演示场所,甚至服务器机房附近,都存在 RSA 加密可能被声音分析破解的风险。
Shamir博士指出,应用程序开发人员应该在开发软件时考虑到基于声音的加密分析技术,并建议对RSA密码进行多次随机分析,作为应对基于声音的黑客攻击的对策。 此外,建议软件开发者确认所使用的RSA加密软件是否采取了针对声音黑客行为的保护措施。