Timing Attack

#보안

Timing Attack은 특정 동작에 걸리는 "실행시간"을 기반으로 암호 값 등을 추적하는 공격 기법이다.

이렇게 뭔가 부수적인 요소를 기반으로 간접적으로 추정하는 공격법들을 side-channel attack이라고 한다.

예제

예를 들어, 다음과 같이 하드코딩된 패스워드로 인증을 처리하는 코드가 있다고 해보겠다.

def is_authorized(token):
    if token == 'q1w2e3r4':
        return True
    else:
        return False

그냥 봤을 때는 별 문제가 없다고 여길 수도 있다.

하지만 보안적인 관점에서, 편집증적인 관점으로 봤을 때는 이 또한 취약점으로 여겨질 수 있다.

is_authorized('q1aaaa')
is_authorized('asdf')

왜냐면, 들어가는 값에 따라서 처리시간이 달라지는 것이기 때문이다.

잘 생각해보면, 문자열 비교라는 것도 결국 문자 하나하나씩 순서대로 비교하는 루프다.

q1aaaa을 넣었을 때는 q, 1까지 비교하고 나서 a를 만나고 루프를 탈출할 것이고, asdf는 루프에 진입하자마자 루프를 탈출할 것이다.
그러니까 값에 따라서 루프를 도는 횟수가 달라지고, 그에 따라서 실행되는 명령어의 개수도 달라지고, 처리시간도 달라진다.

타이밍 어택은 이를 통해서 일치하는 값 패턴을 추정하는 방법론이다.

브루트포스 돌리듯이 계속 돌리다가, 처리시간이 더 오래걸리는 조합을 첫번째 문자부터 천천히 쌓아나가다보면 언젠가는 q1w2e3r4라는 결론에 도달할 수 있는 것이다.

해결책

이를 해결하는 가장 좋은 방법은, 어떤 값이 들어와도 일정한 시간이 걸리게끔 하는 것이다.
이를 상수 시간 비교(const time compare)라고 한다.

상수시간 비교의 구현체들은 보통 암호화 라이브러리들에 포함되어있다.
대표적으로 Python의 내장 모듈에도 hmac.compare_digest라는 구현이 있다.

하지만...

사실 이런 형태의 단순한 사용사례는 사실 많지 않다.

보통 잘 설계한 패스워드 시스템은 패스워드 해싱과 솔트를 통해서 원본 패스워드를 숨긴다.
때문에 아무리 타이밍 공격을 찔러대도 입력값과 해시값이 균일하게 대응되지 않기 때문에 한글자씩 단계적으로 추정하는 것이 매우 어렵고, 불가능에 가깝다. salt까지 첨가되면 더욱 어려워진다.

게다가 대부분의 패스워드용 해시 알고리즘들은 의도적으로 느리게 동작하게끔 만들어져있다. 해싱 타임의 모수가 대체로 문자열의 비교보다 압도적으로 크기 때문에 측정을 거의 불가능하게 만들기도 한다.

그래서 실제 시스템들에서 타이밍 공격은 공격자에게 매우 비효율적인 공격 방법이 될 확률이 매우 높다. 단순 브루트포스보다 나을 것이 없기 때문이다.

참조
https://en.m.wikipedia.org/wiki/Timing_attack
https://stackoverflow.com/questions/27028284/is-comparing-strings-in-mysql-vulnerable-to-timing-attacks
https://sqreen.github.io/DevelopersSecurityBestPractices/timing-attack/python