Trzech kryptografów z Izraela opublikowało raport zatytułowany "RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis" (z ang. "Wydobywanie kluczy RSA poprzez akustyczną analizę kryptograficzną"). Udowodnili, że jedynie wsłuchując się w dźwięki wydawane przez procesor są w stanie odczytać klucz RSA użyty do szyfrowania wiadomości przy pomocy oprogramowania GnuPG.
Choć przejęcie klucza było poprzedzone żmudnymi przygotowaniami to jednak sam proces zajął ok. godziny.
Podczas uruchamiania algorytmów kryptograficznych systemy, które odpowiadają za regulację napięcia wydają określone dźwięki. Te można zarejestrować a następnie wzmocnić i przeanalizować. Najlepiej sprawdza się oczywiście profesjonalny sprzęt ale do ataku można wykorzystać również zwykłe smartfony.
Oto scenariusze ataku przedstawiony przez autorów:
Zainstaluj aplikację służącą do ataku w swoim telefonie. Spotkaj się z ofiarą, podczas spotkania umieść telefon na jej biurku, w pobliżu jej laptopa
Włam się do telefonu ofiary, zainstaluj aplikację służącą do ataku, poczekaj aż ofiara umieści telefon w pobliżu swojego laptopa.
Stwórz stronę która przy użyciu Flasha będzie nagrywać dźwięk z mikrofonu w komputerze. Wtedy ofiara zezwoli na użycie mikrofonu przejmij klucz.
Autorzy oprogramowania GnuPG zostali uprzedzeni o wykrytej słabości w zabezpieczeniach. Cały proces jest dość skomplikowany, udowodniono jednak, że przejęcie kluczy zabezpieczających jest możliwe z dystansu.
Oczywiście istnieje wiele technik, które pozwalają przełamywać zabezpieczenia - istnieje przecież sprzęt, który potrafi analizować na odległość informacje przechodzące przez komputer.
