ٹائمنگ اٹیک سائبرسیکیوریٹی کے دائرے میں سائیڈ چینل اٹیک کی ایک قسم ہے جو کرپٹوگرافک الگورتھم کو انجام دینے میں لگنے والے وقت کی مختلف حالتوں کا فائدہ اٹھاتا ہے۔ وقت کے ان فرقوں کا تجزیہ کرکے، حملہ آور خفیہ کیز کے بارے میں حساس معلومات کا اندازہ لگا سکتے ہیں۔ حملے کی یہ شکل ان سسٹمز کی سلامتی کو نقصان پہنچا سکتی ہے جو ڈیٹا کے تحفظ کے لیے کرپٹوگرافک الگورتھم پر انحصار کرتے ہیں۔
ٹائمنگ اٹیک میں، حملہ آور خفیہ کاری یا ڈکرپشن جیسی خفیہ کارروائیوں کو انجام دینے میں لگنے والے وقت کی پیمائش کرتا ہے، اور اس معلومات کو کرپٹوگرافک کیز کے بارے میں تفصیلات نکالنے کے لیے استعمال کرتا ہے۔ بنیادی اصول یہ ہے کہ مختلف کارروائیوں میں تھوڑا سا مختلف وقت لگ سکتا ہے جس پر کارروائی کی جا رہی بٹس کی قدروں پر منحصر ہے۔ مثال کے طور پر، 0 بٹ پر کارروائی کرتے وقت، الگورتھم کے اندرونی کام کی وجہ سے 1 بٹ پر کارروائی کرنے کے مقابلے میں ایک آپریشن میں کم وقت لگ سکتا ہے۔
وقت کے حملے خاص طور پر ان نفاذ کے خلاف مؤثر ثابت ہو سکتے ہیں جن میں ان خطرات کو کم کرنے کے لیے مناسب انسدادی اقدامات کی کمی ہے۔ ٹائمنگ اٹیک کا ایک عام ہدف RSA الگورتھم ہے، جہاں ماڈیولر ایکسپوینشن آپریشن خفیہ کلید کے بٹس کی بنیاد پر وقت کی مختلف حالتوں کو ظاہر کر سکتا ہے۔
ٹائمنگ حملوں کی دو اہم اقسام ہیں: غیر فعال اور فعال۔ غیر فعال ٹائمنگ اٹیک میں، حملہ آور نظام کے ٹائمنگ رویے کو فعال طور پر متاثر کیے بغیر دیکھتا ہے۔ دوسری طرف، ایک فعال ٹائمنگ اٹیک میں حملہ آور وقت کے فرق کو متعارف کرانے کے لیے نظام کو فعال طور پر جوڑ توڑ کرتا ہے جس کا فائدہ اٹھایا جا سکتا ہے۔
وقت کے حملوں کو روکنے کے لیے، ڈویلپرز کو محفوظ کوڈنگ کے طریقوں اور انسدادی اقدامات کو نافذ کرنا چاہیے۔ ایک نقطہ نظر یہ ہے کہ اس بات کو یقینی بنایا جائے کہ کرپٹوگرافک الگورتھم کا مستقل وقت پر عمل درآمد ہوتا ہے، جہاں عمل درآمد کا وقت ان پٹ ڈیٹا پر منحصر نہیں ہوتا ہے۔ یہ وقت کے فرق کو ختم کرتا ہے جن کا حملہ آور فائدہ اٹھا سکتے ہیں۔ مزید برآں، بے ترتیب تاخیر یا بلائنڈنگ تکنیکوں کو متعارف کرانے سے ممکنہ حملہ آوروں کے لیے دستیاب وقت کی معلومات کو مبہم کرنے میں مدد مل سکتی ہے۔
الگورتھم پر عمل درآمد میں وقت کی مختلف حالتوں کا فائدہ اٹھا کر وقت کے حملے کرپٹوگرافک سسٹمز کی سلامتی کے لیے ایک اہم خطرہ ہیں۔ وقتی حملوں کے پیچھے اصولوں کو سمجھنا اور مناسب جوابی اقدامات کو لاگو کرنا حساس معلومات کو نقصان پہنچانے والوں سے محفوظ رکھنے کے لیے اہم اقدامات ہیں۔
سے متعلق دیگر حالیہ سوالات اور جوابات EITC/IS/ACSS ایڈوانسڈ کمپیوٹر سسٹم سیکیورٹی:
- ناقابل اعتماد اسٹوریج سرورز کی کچھ موجودہ مثالیں کیا ہیں؟
- مواصلاتی تحفظ میں دستخط اور عوامی کلید کے کیا کردار ہیں؟
- کیا کوکیز کی سیکیورٹی SOP (ایک ہی اصل پالیسی) کے ساتھ اچھی طرح سے منسلک ہے؟
- کیا کراس سائٹ درخواست جعل سازی (CSRF) حملہ GET درخواست اور POST درخواست کے ساتھ ممکن ہے؟
- کیا علامتی عمل گہرے کیڑے تلاش کرنے کے لیے موزوں ہے؟
- کیا علامتی عمل میں راستے کے حالات شامل ہو سکتے ہیں؟
- جدید موبائل آلات میں موبائل ایپلیکیشنز کو محفوظ انکلیو میں کیوں چلایا جاتا ہے؟
- کیا کیڑے تلاش کرنے کا کوئی طریقہ ہے جس میں سافٹ ویئر کو محفوظ ثابت کیا جا سکتا ہے؟
- کیا موبائل آلات میں محفوظ بوٹ ٹیکنالوجی عوامی کلیدی بنیادی ڈھانچے کا استعمال کرتی ہے؟
- کیا جدید موبائل ڈیوائس محفوظ فن تعمیر میں فی فائل سسٹم میں بہت سی انکرپشن کیز ہیں؟
EITC/IS/ACSS Advanced Computer Systems Security میں مزید سوالات اور جوابات دیکھیں