web-dev-qa-db-ja.com

.NETでのタイミング情報の漏洩をいつ心配する必要がありますか?

this の投稿によると、DominickBaierは2つのHMACSHA256署名を比較しており、比較に失敗するとタイミング情報を漏らしていました。

.NET暗号クラスを使用する場合、いつ同様のアプローチを採用し、ランダムな時間スリープする必要がありますか?どのくらいの時間が十分ですか?

[MethodImpl(MethodImplOptions.NoOptimization)]
public static bool IsEqual(string s1, string s2)
{
    if (s1 == null && s2 == null)
    {
        return true;
    }

    if (s1 == null || s2 == null)
    {
        return false;
    }

    if (s1.Length != s2.Length)
    {
        return false;
    }

    var s1chars = s1.ToCharArray();
    var s2chars = s2.ToCharArray();

    int hits = 0;
    for (int i = 0; i < s1.Length; i++)
    {
        if (s1chars[i].Equals(s2chars[i]))
        {
            hits += 2;
        }
        else
        {
            hits += 1;
        }
    }

    bool same = (hits == s1.Length * 2);

    if (!same)
    {
        var rnd = new CryptoRandom();
        Thread.Sleep(rnd.Next(0, 10));
    }

    return same;
}
appseccryptography.net
6
goodguys_activate

ランダムな時間スリープしても、情報漏えいが完全に停止するわけではありません。攻撃を繰り返すことができる場合、ランダムな部分は平均して一定になります。代わりに、操作に常に同じ時間がかかることを確認する必要があります。

7
Wim Coenen