TEMPEST (Материалы телекоммуникационной электроники, защищенные от испускаемых ложных сигналов) - это агентство национальной безопасности США и сертификат НАТО, относящийся к шпионажу за информационными системами посредством утечек излучения, включая непреднамеренные радио- или электрические сигналы, звуки и вибрации. TEMPEST охватывает как методы слежки за другими, так и способы защиты оборудования от такого слежения. Усилия по защите также известны как безопасность излучения (EMSEC), которая является подмножеством безопасности связи (COMSEC).
Методы слежения за компьютерными выбросами АНБ засекречены, но некоторые из них стандарты защиты были опубликованы либо АНБ, либо Министерством обороны. Защита оборудования от шпионажа осуществляется с помощью дистанции, экранирования, фильтрации и маскировки. Стандарты TEMPEST предписывают такие элементы, как расстояние от оборудования до стен, степень защиты в зданиях и оборудовании, а также расстояние, разделяющее провода, несущие классифицированные и несекретные материалы, фильтры на кабелях и даже расстояние и экранирование между проводами или оборудованием и строительными трубами. Шум также может защитить информацию, маскируя фактические данные.
Микшер Bell 131B2, используемый для XOR сигналов телетайпа с одноразовыми лентами, был первым устройством, из которого классифицированный простой текст был извлечен с использованием излучаемых сигналов. 204>Хотя большая часть TEMPEST посвящена утечке электромагнитных излучений, он также включает в себя звуки и механические колебания. Например, можно регистрировать нажатия клавиш пользователя с помощью датчика движения внутри смартфонов. Компрометирующие излучения определяются как непреднамеренные разведывательные -сигналы, которые при перехвате и анализе (атака по побочному каналу ) могут раскрыть информацию, переданную, полученную, обработанную или иным образом обработанную любым оборудование для обработки информации.Во время Второй мировой войны Bell Telephone предоставил американским военным устройство микширования, которое шифрует сигналы телетайпа с помощью XOR, добавляя в них ключевой материал с одноразовых лент (система SIGTOT ) или, ранее, генератор ключей на основе ротора под названием SIGCUM. В его работе использовались электромеханические реле. Позже Белл сообщил Корпусу связи, что они смогли обнаружить электромагнитные всплески на расстоянии от микшера и восстановить простой текст. Встретив скептицизм по поводу того, действительно ли явление, которое они обнаружили в лаборатории, может быть опасным, они продемонстрировали свою способность восстанавливать простой текст из криптоцентра Signal Corps на Варик-стрит в Нижнем Манхэттене. Встревоженный, Корпус связи попросил Белла провести дальнейшее расследование. Белл определил три проблемные области: излучаемые сигналы, сигналы, передаваемые по проводам, идущим от объекта, и магнитные поля. В качестве возможных решений они предложили экранирование, фильтрацию и маскировку.
Роторные машины, такие как этот SIGCUM, были одним из первых источников компрометирующих эффектов TEMPESTBell разработала модифицированный смеситель 131-A1 с экранированием и фильтрацией, но оказалось трудно обслуживание и слишком дорогое развертывание. Вместо этого соответствующие командиры были предупреждены о проблеме и посоветовали контролировать зону диаметром 100 футов (30,48 м) вокруг их центра связи, чтобы предотвратить скрытый перехват, и на этом все было оставлено. Затем, в 1951 году, ЦРУ заново обнаружило проблему микшера 131-B2 и обнаружило, что они могут восстанавливать простой текст с линии, несущей зашифрованный сигнал за четверть мили. Были разработаны фильтры для сигнальных линий и линий электропередач, а рекомендуемый радиус контрольного периметра был увеличен до 200 футов, в большей степени исходя из того, чего можно ожидать от командиров, чем из любых технических критериев.
Последовал долгий процесс оценки систем и разработки возможных решений. Были обнаружены и другие компрометирующие эффекты, такие как колебания в линии электропередачи из-за ступенчатости роторов. Вопрос об использовании шума электромеханических систем шифрования был поднят в конце 1940-х годов, но теперь был переоценен как возможная угроза. Акустические излучения могли отображать простой текст, но только если звукосниматель находился близко к источнику. Тем не менее, подойдут даже посредственные микрофоны. Звукоизоляция комнаты усугубила проблему, убрав отражения и обеспечив более чистый сигнал на записывающем устройстве.
Релейная логика, такая как в этом Flexowriter, была еще одним крупным ранним источником излучения TEMPEST.В 1956 году Военно-морская исследовательская лаборатория разработала лучший смеситель, который работали при гораздо меньших напряжениях и токах и поэтому излучали гораздо меньше. Он был включен в более новые системы шифрования NSA. Однако многим пользователям требовались более высокие уровни сигнала, чтобы управлять телетайпами на больших расстояниях или при подключении нескольких телетайпов, поэтому новые устройства шифрования включали возможность переключать сигнал обратно на более высокий уровень. АНБ приступило к разработке методов и спецификаций для изоляции путей передачи конфиденциальной информации посредством фильтрации, экранирования, заземления и физического разделения: тех строк, которые несли конфиденциальный простой текст, от тех, которые предназначены для передачи только неконфиденциальных данных, причем последние часто выходят за пределы безопасная среда. Эта попытка разделения стала известна как Концепция Красного / Черного. Совместная политика 1958 года под названием NAG-1 установила нормы излучения для оборудования и установок, основанные на 50-футовом (15,24-метровом) пределе контроля. В нем также указаны уровни классификации различных аспектов проблемы TEMPEST. В следующем году эту политику приняли Канада и Великобритания. Шесть организаций, военно-морской флот, армия, авиация, АНБ, ЦРУ и Государственный департамент должны были обеспечить основную часть усилий по его реализации.
Трудности возникли быстро. Компьютеризация становится важной для обработки разведывательных данных, и компьютеры и их периферийные устройства должны быть оценены, причем многие из них имеют уязвимости. Friden Flexowriter, популярная в то время пишущая машинка ввода / вывода, оказалась среди самых сильных излучателей, читаемых на расстоянии до 975,36 метров в полевых испытаниях. Совет по безопасности связи США (USCSB) разработал политику Flexowriter, которая запрещает его использование за границей для секретной информации и ограничивает его использование в США уровнем конфиденциально, а затем только в пределах 400 футов (121,92 метра).) зона безопасности - но пользователи сочли эту политику обременительной и непрактичной. Позже АНБ обнаружило аналогичные проблемы с введением дисплеев с электронно-лучевой трубкой (ЭЛТ ), которые также были мощными излучателями.
Это был многолетний процесс перехода от рекомендаций по политике к более строгим правилам TEMPEST. В результате Директива 5200.19, согласованная с 22 отдельными ведомствами, была подписана министром обороны Робертом Макнамарой в декабре 1964 года, но для ее полного выполнения потребовались месяцы. Официальная реализация АНБ вступила в силу в июне 1966 года.
Между тем, проблема акустических излучений стала более острой с открытием около 900 микрофонов в американских установках за границей, большинство из которых находится за железным занавесом. В ответ было построено ограждение «комната в комнате», несколько прозрачных, получивших прозвище «рыбные миски». Другие блоки были полностью защищены от электронных излучений, но не пользовались популярностью у персонала, который должен был работать внутри; вольеры они называли «шкафчиками для мяса», а иногда просто оставляли двери открытыми. Тем не менее, они были установлены в критических местах, таких как посольство в Москве, где были установлены два: один для использования Госдепартаментом и один для военных атташе. Установка оборудования для генерации ключей в АНБ стоила 134 000 долларов.
Стандарты Tempest продолжали развиваться в 1970-х годах и позже, с появлением более новых методов тестирования и более подробных руководств, учитывающих риски в конкретных местах и ситуациях. Но тогда, как и сейчас, потребности в безопасности часто встречали сопротивление. По словам Дэвида Г. Боака из NSA, «кое-что из того, что мы все еще слышим сегодня в наших собственных кругах, когда строгие технические стандарты снижены в интересах денег и времени, пугающе напоминает высокомерный Третий Рейх с его криптомашиной Enigma».
Многие особенности стандартов TEMPEST классифицированы, но некоторые элементы являются общедоступными. Действующие стандарты США и НАТО Tempest определяют три уровня требований к защите:
Дополнительные стандарты включают:
АНБ и Министерство обороны рассекретили некоторые элементы TEMPEST после Freedom Закона об информации запрашивает, но в документах скрыты многие ключевые значения и описания. Рассекреченная версия стандарта тестирования TEMPEST сильно отредактирована, при этом пределы излучения и процедуры тестирования затемнены. Отредактированная версия вводного справочника Tempest NACSIM 5000 была публично выпущена в декабре 2000 года. Кроме того, текущий стандарт NATO SDIP-27 (до 2006 года известный как AMSG 720B, AMSG 788A и AMSG 784) все еще засекречен..
Требования к экранированию TEMPESTНесмотря на это, некоторые рассекреченные документы содержат информацию об экранировании, требуемом стандартами TEMPEST. Например, в Военном справочнике 1195 справа есть диаграмма, показывающая требования к электромагнитному экранированию на разных частотах. Рассекреченная спецификация NSA для экранированных корпусов предлагает аналогичные значения экранирования, требуя «минимальных вносимых потерь 100 дБ в диапазоне от 1 кГц до 10 ГГц». Поскольку большая часть текущих требований все еще засекречена, нет никаких общедоступных корреляций между этим требованием к экранированию 100 дБ и новыми стандартами экранирования на основе зон.
Кроме того, многие требования к безопасному расстоянию и другие элементы предусмотрены рассекреченным руководством по установке NSA красно-черный, NSTISSAM TEMPEST / 2-95.
Агентства информационной безопасности нескольких стран НАТО публикуют списки аккредитованных испытательных лабораторий и оборудования, прошедшего эти испытания:
Армия США также имеет испытательный центр «Буря» в составе инженерного командования информационных систем армии США в Форт-Хуачука, Аризона. Подобные списки и сооружения существуют и в других странах НАТО.
Сертификация Tempest должна применяться ко всем системам, а не только к отдельным компонентам, так как подключение одного неэкранированного компонента (например, кабеля или устройства) к другому безопасному Система может кардинально изменить радиочастотные характеристики системы.
Стандарты TEMPEST требуют «КРАСНОГО / ЧЕРНОГО разделения», т. Е. Выдерживания расстояния или установки экранирования между цепями и оборудованием, используемым для обработки открытого текста секретная или конфиденциальная информация, которая не является зашифрованной (КРАСНЫЙ) и защищенные схемы и оборудование (ЧЕРНЫЙ), в том числе те, которые передают зашифрованные сигналы. Производство оборудования, одобренного TEMPEST, должно осуществляться под тщательным контролем качества, чтобы гарантировать, что дополнительные блоки построены точно так же, как блоки, которые были протестированы. Замена даже одного провода может сделать тесты недействительными.
Одним из аспектов тестирования Tempest, которое отличает его от ограничений на побочных излучений (например, FCC Часть 15 ), является требование абсолютная минимальная корреляция между излучаемой энергией или обнаруживаемыми выбросами и любыми обрабатываемыми незашифрованными данными.
В 1985 году опубликовал первый несекретный технический анализ рисков безопасности, исходящих от компьютерных мониторов. Эта статья вызвала некоторый испуг в сообществе специалистов по безопасности, которые ранее считали, что такой мониторинг представляет собой очень изощренную атаку, доступную только правительствам ; Ван Экк успешно перехватил реальную систему на расстоянии сотен метров, используя оборудование стоимостью всего 15 долларов плюс телевизор.
В результате этого исследования такие излучения иногда называют «излучением Ван Экка» и техникой подслушивания фрикингом Ван Экка, хотя правительственные исследователи уже знали об опасности, так как Bell Labs отметила эту уязвимость для защиты связи телетайпа во время Второй мировой войны и смогла создать 75% открытого текста, обрабатываемого на безопасном объекте с расстояния 80 футов. (24 метра) 1 февраля 1982 года АНБ опубликовало Основы Tempest, NSA-82-89, NACSIM 5000, Агентство национальной безопасности (секретно). Кроме того, техника ван Экка была успешно продемонстрирована сотрудникам, не относящимся к TEMPEST, менее чем за 30 лет.>Корея во время корейской войны в 1950-х.
Маркус Кун обнаружил несколько недорогих методов, снижающих вероятность того, что излучение с компьютерных дисплеев можно будет контролировать удаленно. При использовании дисплеев CRT и аналоговых видеокабелей фильтрация высокочастотных компонентов из шрифтов перед их отображением на экране компьютера ослабит энергия, с которой транслируются текстовые символы. В современных плоских дисплеях , кабели высокоскоростного цифрового последовательного интерфейса (DVI ) от графического контроллера являются основным источником компрометирующие эманации. Добавление случайного шума к младшим разрядам значений пикселей может сделать излучение от плоских дисплеев непонятным для подслушивающих, но это небезопасный метод. Поскольку DVI использует определенную схему битового кода, которая пытается транспортировать сбалансированный сигнал из 0 бит и 1 бит, может не быть большой разницы между двумя цветами пикселей, которые сильно различаются по цвету или интенсивности. Излучения могут сильно отличаться, даже если изменяется только последний бит цвета пикселя. Сигнал, принимаемый перехватчиком, также зависит от частоты, на которой детектируются излучения. Сигнал может быть получен сразу на многих частотах, и сигнал каждой частоты отличается контрастностью и яркостью в зависимости от определенного цвета на экране. Обычно метод подавления КРАСНОГО сигнала шумом неэффективен, если мощность шума не достаточна для того, чтобы заставить приемник подслушивателя подавить вход приемника.
Светодиодные индикаторы на компьютерном оборудовании могут быть источником компрометирующих оптических излучений. Один из таких методов включает мониторинг индикаторов на модеме коммутируемого доступа. Почти все модемы мигают светодиодом, чтобы показать активность, и обычно эти вспышки снимаются непосредственно с линии передачи данных. Таким образом, быстрая оптическая система может легко увидеть изменения мерцания данных, передаваемых по проводам.
Недавние исследования показали, что можно обнаружить излучение, соответствующее событию нажатия клавиши, не только с беспроводной (радио) клавиатуры, но также с традиционных проводных клавиатур и даже с клавиатур портативных компьютеров. Начиная с 1970-х годов, советское прослушивание пишущих машинок IBM Selectric посольства США позволяло обнаруживать механическое движение ручек с прикрепленными магнитами с помощью имплантированных магнитометров и преобразовывать через скрытую электронику в цифровую радиочастоту. сигнал. Каждая восьмисимвольная передача обеспечивала советский доступ к конфиденциальным документам по мере их набора на объектах США в Москве и Ленинграде.
В 2014 году исследователи представили «AirHopper», раздвоенную схему атаки, показывающую возможность кражи данных с изолированного компьютера на ближайший мобильный телефон с использованием сигналов частоты FM.
В 2015 году был представлен «BitWhisper», скрытый канал передачи сигналов между компьютерами с воздушными зазорами, использующий тепловые манипуляции. BitWhisper поддерживает двунаправленную связь и не требует дополнительного выделенного периферийного оборудования. Позже в 2015 году исследователи представили GSMem, метод фильтрации данных с компьютеров с воздушным зазором по сотовым частотам. Передача, генерируемая стандартной внутренней шиной, превращает компьютер в небольшую антенну сотового передатчика. В феврале 2018 года было опубликовано исследование, в котором описывалось, как низкочастотные магнитные поля могут использоваться для скрытия конфиденциальных данных от компьютеров с решеткой Фарадея и компьютеров с воздушным зазором с помощью вредоносного ПО под кодовым названием ODINI, которое может контролировать низкочастотные магнитные поля, излучаемые зараженными компьютерами. регулирование загрузки ядер ЦП.
В 2018 году класс атаки по побочным каналам был представлен в ACM и Black Hat от Исследователи Eurecom : «Кричащие каналы». Этот вид атаки нацелен на микросхемы смешанных сигналов, содержащие аналоговую и цифровую схему на одном и том же кремниевом кристалле - с радиопередатчик. Результатом этой архитектуры, часто встречающейся в связанных объектах, является то, что цифровая часть микросхемы будет пропускать некоторые метаданные о своих вычислениях в аналоговую часть, что приводит к утечке метаданных, кодируемых в шум радиопередачи. Благодаря методам обработки сигналов исследователи смогли извлечь криптографические ключи, используемые во время обмена данными, и расшифровать контент. Авторы предполагают, что этот класс нападения уже много лет известен правительственным спецслужбам.