Хугацааны довтолгоо нь криптограф алгоритмыг гүйцэтгэхэд зарцуулсан цаг хугацааны өөрчлөлтийг ашигладаг кибер аюулгүй байдлын талбар дахь хажуугийн сувгийн халдлага юм. Эдгээр цаг хугацааны зөрүүг шинжилснээр халдагчид ашиглаж буй криптографийн түлхүүрүүдийн талаарх эмзэг мэдээллийг гаргаж чадна. Энэхүү халдлагын хэлбэр нь өгөгдлийг хамгаалах криптограф алгоритм дээр тулгуурладаг системийн аюулгүй байдлыг алдагдуулж болзошгүй юм.
Хугацааны довтолгооны үед халдагчид шифрлэлт, шифрийг тайлах зэрэг криптографийн үйлдлүүдийг хийхэд зарцуулсан хугацааг хэмжиж, энэ мэдээллийг ашиглан криптограф түлхүүрүүдийн талаарх дэлгэрэнгүй мэдээллийг гаргадаг. Үндсэн зарчим нь янз бүрийн үйлдлүүд нь боловсруулж буй битүүдийн утгуудаас хамааран арай өөр цаг хугацаа шаардаж болно. Жишээлбэл, 0 битийг боловсруулах үед алгоритмын дотоод үйл ажиллагааны улмаас үйлдэл нь 1 битийг боловсруулахтай харьцуулахад бага хугацаа шаардагдана.
Хугацааны довтолгоо нь эдгээр эмзэг байдлыг багасгах зохих эсрэг арга хэмжээ авахгүй байгаа хэрэгжилтийн эсрэг ялангуяа үр дүнтэй байж болно. Хугацааны довтолгооны нийтлэг зорилтуудын нэг бол RSA алгоритм бөгөөд модульчлах үйлдэл нь нууц түлхүүрийн бит дээр үндэслэн цаг хугацааны өөрчлөлтийг харуулж чаддаг.
Цаг хугацааны довтолгооны хоёр үндсэн төрөл байдаг: идэвхгүй ба идэвхтэй. Идэвхгүй цаг хугацааны довтолгооны үед халдагч системд идэвхтэй нөлөөлөхгүйгээр цагийн хуваарийг ажигладаг. Нөгөөтэйгүүр, идэвхтэй цаг хугацааны довтолгоо нь халдагчид ашиглаж болох цагийн зөрүүг нэвтрүүлэхийн тулд системийг идэвхтэй удирддаг.
Цаг хугацааны халдлагаас урьдчилан сэргийлэхийн тулд хөгжүүлэгчид аюулгүй кодчилол, эсрэг арга хэмжээ авах ёстой. Нэг арга нь криптографийн алгоритмууд нь гүйцэтгэлийн хугацаа нь оролтын өгөгдлөөс хамаарахгүй тогтмол хугацааны хэрэгжилттэй байх явдал юм. Энэ нь халдагчид ашиглаж болох цагийн зөрүүг арилгадаг. Нэмж дурдахад санамсаргүй саатал эсвэл харалган арга техникийг нэвтрүүлэх нь боломжит халдагчдад байгаа цаг хугацааны мэдээллийг бүдгэрүүлэхэд тусална.
Цаг хугацааны халдлага нь алгоритмын гүйцэтгэлд цаг хугацааны өөрчлөлтийг ашиглан криптографийн системийн аюулгүй байдалд ихээхэн аюул учруулдаг. Халдлагын цаг хугацааны зарчмуудыг ойлгож, зохих хариу арга хэмжээ авах нь эмзэг мэдээллийг хорлонтой этгээдээс хамгаалах чухал алхам юм.
Сүүлийн үеийн бусад асуулт, хариулт EITC/IS/ACSS дэвшилтэт компьютерийн системийн аюулгүй байдал:
- Итгэлгүй хадгалалтын серверүүдийн одоогийн жишээ юу вэ?
- Харилцаа холбооны аюулгүй байдалд гарын үсэг болон нийтийн түлхүүр ямар үүрэг гүйцэтгэдэг вэ?
- Күүкийн аюулгүй байдал нь SOP (ижил гарал үүслийн бодлого)-той нийцэж байна уу?
- Сайт хоорондын хүсэлтийг хуурамчаар үйлдэх (CSRF) халдлага нь GET хүсэлт болон POST хүсэлтийн аль алинд нь боломжтой юу?
- Гүн алдааг олоход бэлгэдлийн гүйцэтгэл тохиромжтой юу?
- Бэлгэдлийн гүйцэтгэл нь замын нөхцөлийг агуулж чадах уу?
- Орчин үеийн хөдөлгөөнт төхөөрөмжүүдийн аюулгүй бүс нутагт гар утасны програмуудыг яагаад ажиллуулдаг вэ?
- Програм хангамжийн аюулгүй байдлыг баталгаажуулах алдааг олох арга бий юу?
- Мобайл төхөөрөмжүүдийн аюулгүй ачаалах технологи нь нийтийн түлхүүрийн дэд бүтцийг ашигладаг уу?
- Орчин үеийн хөдөлгөөнт төхөөрөмжийн аюулгүй архитектурт нэг файлын системд олон шифрлэлтийн түлхүүр байдаг уу?
EITC/IS/ACSS Advanced Computer Systems Security хэсгээс бусад асуулт, хариултыг харна уу