11 ataques

11 — Ataques Criptográficos

Taxonomia completa: criptanálise matemática, side-channel, ataques de protocolo, ataques de implementação, ataques físicos, ataques quânticos. Para cada: princípio, ferramentas, mitigação.

1. Modelos de adversário (recap)

Cobertos em 02-fundamentos.md §4. Resumo:

Modelo Adversário pode
COA Ver ciphertexts
KPA Ver pares (P, C)
CPA Pedir encryption de P escolhido
CCA1 Pedir decryption antes do desafio
CCA2 Pedir decryption adaptativamente
Side-channel Medir tempopowerEM/cache durante execução
Fault Injetar erros
Físico Acesso direto ao hardware
Multi-target Atacar muitas chaves simultaneamente

2. Criptanálise matemática

Análise de frequência

AlKindi (~850). Letras de texto natural têm distribuição nãouniforme. Quebra qualquer substituição monoalfabética.

Index of Coincidence

William Friedman (1922). Mede quão "natural" uma distribuição é. Detecta tamanho de chave em polialfabéticas (Vigenère).

Kasiski examination

Friedrich Kasiski (1863). Repetições de plaintextcommesmo-keystream geram repetições em ciphertext em distância múltipla do tamanho da chave.

Linear cryptanalysis

*itsuru Matsui*(1993). Aproximações lineares de S-boxes. Quebra DES com \(2^{43}\) plaintexts conhecidos.

Differential cryptanalysis

*li Biham + Adi Shamir*(publicado 1990; NSA já sabia em 1974). Analisa *iferenças*(\(\Delta P, \Delta C\)). DES projetado para resistir (S-box choice).

Algebraic cryptanalysis

Sistemas polinomiais sobre \(\mathbb{F}_2\) (XL, Gröbner basis). Quebrou Rainbow (multivariate signature 2022).

Meetinthe-middle

Diffie-Hellman 1977. Quebra dupla criptografia: em vez de \(2^{2k}\) chaves combinadas, \(2^k\) tentativas armazenadas + \(2^k\) buscas = \(2^{k+1}\).

*plicação* 2DES tem segurança ~\(2^{57}\) (não \(2^{112}\)). Por isso 3DES usa EDE com 3 chaves diferentes (não 2).

Birthday attack

Em hash de \(n\) bits, espera-se colisão após ~\(2^{n/2}\) tentativas (paradoxo do aniversário).

*plicação* SHA256 dá 128 bits de collision resistance. SHA1 quebrada em 2017 com ~\(2^{63}\) work.

Index calculus / Pollard's rho

Algoritmos para DLP em \(\mathbb{Z}_p^*\). Reduzem para subexponential. Por isso DH precisa \(|p|\) grande (3072+ bits).

Number Field Sieve (NFS)

Algoritmo subexponential para IFP e DLP. Por isso RSA-2048 fica limítrofe.

*pecial NFS*vs *eneral NFS* SNFS funciona em primos com estrutura especial. Caso famoso: *ogjam*(2015) — DH com primos pré-computados de 1024 bit quebráveis com SNFS pelo NSA.

Coppersmith's method

Don Coppersmith (1996). Achar raízes pequenas de polinômios mod \(N\). Quebra RSA quando:

  • Mensagem pequena com low exponent + padding parcialmente conhecido.
  • Chaves com bits parcialmente leak (boneh-durfee, partial key exposure).
  • *OCA* Infineon RSA keys têm structure que Coppersmith ataca em horas.

Lattice reduction (LLL, BKZ)

LenstraLenstraLovász (1982). Reduz lattice basis. Base de:

  • Coppersmith.
  • Quebrar NTRU implementações fracas.
  • LWE attacks (PQC analysis).
  • Knapsack cryptosystems (quebrados 1980s).

3. Side-channel attacks

Timing attacks

Paul Kocher (1996). Medir tempo de operação revela bits de chave.

*ulneráveis*

  • Squareandmultiply em RSA (branching no bit).
  • Mongtomery ladder mal implementada.
  • AES com table lookups (cache timing — Bernstein 2005, TromerOsvikShamir 2005).
  • HMAC compare nãoconstanttime (timing leak no número de bytes iguais).

*itigação* constanttime impl. Bernstein evangelist. AESNI, SHA Extensions, ChaCha/Poly1305 ARX-native.

Power analysis

Paul Kocher, Joshua Jaffe, Benjamin Jun (1998).

  • *PA (Simple Power Analysis)* visual inspection do trace.
  • *PA (Differential Power Analysis)* estatística sobre muitos traces.
  • *PA (Correlation Power Analysis)* correlation Pearson entre modelo e trace.

Devastador contra smartcards / embedded. Mitigação: *asking*(split secret em shares), *iding*(constant-power circuits).

Electromagnetic (EM)

*EMPEST*(NSA, 1960s+). EM emissions de equipamento vazam dados. Modern: extraction de chave RSA de laptop com smartphone próximo (Genkin et al. 2014).

Acoustic

GenkinShamirTromer 2013: extraem RSA private key de um computador medindo som de capacitores via microfone.

Cache attacks

  • *rime+Probe* atacante preenche cache; vítima executa; atacante mede latência de re-acesso → revela quais lines vítima usou.
  • *lush+Reload* shared memory + clflush. Devastador em cloud (cross-VM).
  • *vict+Reload* *rime+Abort*

Aplicações: extrair chaves AES T-table, RSA window, ECDSA nonce bits.

Branch prediction attacks

  • *pectre v1*(Bounds Check Bypass): treina branch predictor, especulação vaza via cache.
  • *pectre v2*(Branch Target Injection): atacante controla branch target.

Speculative execution attacks

  • *eltdown*(2018) — rogue data cache load. Read kernel da userspace via OOO. Intel-specific (AMD safe).
  • *oreshadow / L1TF*(2018) — terminal fault, leak da L1 incluindo SGX.
  • *DS / RIDL / ZombieLoad / Fallout*(2019) — leak via microarchitectural buffers (LFB, store buffer, fill buffer).
  • *ortSmash*(2018) — SMT port contention.
  • *ACMAN*(2022) — Apple M1 pointer auth bypass.
  • *ertzbleed*(2022) — frequency scaling leak.
  • *ownfall*(2023) — Gather instruction Intel.
  • *nception / SRSO*(2023) — AMD Zen.

Microarchitectural mitigações (Linux/kernel)

mitigations=auto  # default
kpti              # Kernel page table isolation
retpoline         # software call/ret indirection
ibrs              # Indirect Branch Restricted Speculation
ssbd              # Speculative Store Bypass Disable
mds=full          # MDS mitigation
tsx_async_abort   # TAA

*usto* 5–30% performance depending on workload.

Frequency / voltage attacks

  • *lundervolt*(2019): underclock CPU dynamically; cause SGX computation to fault and leak.
  • *oltJockey*— variants.
  • *latypusPRD*— RAPL power telemetry leak.

4. Fault attacks

Bellcore attack (1997)

BonehDeMilloLipton. Erro em CRT-RSA durante decryption revela \(p, q\) via \(\gcd(N, m - m')\).

*itigação* verify após sign (compute \(E(D(m)) = m\)).

DFA (Differential Fault Analysis)

Biham-Shamir 1997. Erro em última round de DES/AES revela chave.

Rowhammer

Kim et al. (2014). Repeated rapidly access to DRAM rows flips bits in adjacent rows. Bypass memory isolation.

Variants:

  • *rammer*(2016): Android root via Rowhammer.
  • *hrowhammer* over network.
  • *etHammer*
  • *ammulator, TRRespass*— bypass mitigations.
  • *AMBleed*(2019) — read em vez de write.
  • *MASH*(2022) — JavaScript.
  • *alf-Double*(2021) — Google.

DDR4 menos vulnerável que DDR3; DDR5 com tighter timing.

Glitching attacks

  • *oltage glitching* drop Vcc brevemente — pula instruções.
  • *lock glitching* pulse rápido — skip cycles.
  • *M glitching* pulse eletromagnético direcionado — flip bit.
  • *aser fault injection* laboratório.

Devastador em smartcards / embedded. Comerciais: ChipWhisperer.

5. Ataques de protocolo TLS/SSL

BEAST (2011)

Browser Exploit Against SSLTLS. Duong-Rizzo. CBC IV chaining em SSL 3.0TLS 1.0: atacante prediz IV próximo, escolhe plaintext para revelar bytes.

Mitigado: TLS 1.1+ usa IV explícito. Browsers patch: 1/n-1 split.

CRIME (2012)

Compression Ratio Info-leak Made Easy. Atacante injeta chosen plaintext em request HTTPS junto com cookie; compressão (DEFLATE) revela size info do match.

Mitigado: desabilita TLS compression.

BREACH (2013)

CRIME variant — explora HTTP-level gzip compression em response. Mais difícil de mitigar.

Lucky 13 (2013)

AlFardanPaterson. Timing em MACthenencrypt CBC (TLS pre1.2): tempo de verify revela padding.

Mitigado: AEAD (GCM/Poly1305), EncryptthenMAC (RFC 7366), constant-time MAC.

POODLE (2014)

Padding Oracle On Downgraded Legacy Encryption. MöllerDuongKotowicz. Força downgrade SSL 3.0; explora padding determinístico não-MACed.

Mitigado: desabilita SSL 3.0. TLSFALLBACKSCSV (RFC 7507) sinaliza no downgrade.

Heartbleed (2014, CVE20140160)

Bug *e implementação*OpenSSL no Heartbeat extension. Buffer over-read: cliente pede 64KB de memory do server especificando length grande mas payload pequeno; server retorna 64KB de heap residual.

Vaza:

  • Private keys (RSA exponent recovery from key schedule).
  • Session cookies, passwords, plaintext recente.

Estima: 17% dos web servers afetados. *eset todo TLS cert do mundo após patch*

FREAK (2015)

Factoring RSA Export Keys. Beurdouche et al. State machine bug em OpenSSLAppleMicrosoft TLS stacks: server aceita 512bit RSA "export grade" mesmo sem negotiation. 512bit RSA quebrável em ~7 horas via NFS.

Logjam (2015)

Adrian et al. State machine bug + DH parameter sharing. Servers usam mesmos primos DH1024. NSA (estimado) précomputa NFS para 1024-bit common groups → quebra session keys retroactively.

Mitigado: DH 2048+ ou ECDH. RFC 7919 named groups.

DROWN (2016)

Decrypting RSA with Obsolete and Weakened eNcryption. Aviram et al. Cross-protocol attack. Server com SSLv2 habilitado (mesmo em outra porta) compartilha chave RSA → SSLv2 Bleichenbacher vulnerability → decrypt TLS handshake.

Mitigado: kill SSLv2 globally.

Sweet32 (2016)

BhargavanLeurent. Birthday bound em 64bit block ciphers (3DES, Blowfish). ~32 GB tráfego CBC/CTR com mesma chave: colisão de blocos revela XOR de plaintexts.

Mitigado: AES (128-bit blocks); rekey após volume.

ROBOT (2017)

Return Of Bleichenbacher's Oracle Threat. BöckSomorovskyYoung. Servers (Cisco, F5, Citrix, Erlang) ainda vulneráveis a Bleichenbacher 1998 PKCS#1 v1.5 padding oracle, 19 anos depois. Decifra RSAkeytransport handshakes ou forja signatures.

Mitigado: TLS 1.3 (sem RSA key transport), PSS para signing, constant-time padding check.

Raccoon (2020)

MergetBrinkmannAviram. DH timing leak em TLS 1.2: server unpads DH shared secret antes de hash → timing reveals leading zeros → solving discrete log easier.

Triple Handshake (2014)

Bhargavan et al. Crossprotocol crossversion. TLS Renegotiation extension fix didn't fully cover.

TLSPSK + PreShared Key issues

CVE20220778 — OpenSSL bug em BNmodsqrt (loop infinito). Mais imp bug que crypto-break.

6. Ataques de protocolo SSH

CBC Plaintext Recovery (Albrecht et al. 2009)

OpenSSH CBC mode com chained IV: atacante recupera 14 bits plaintext per gigabyte de tráfego.

Mitigado: AEAD (chacha20poly1305, AESGCM); CBC disabled default.

Terrapin (2023, CVE202348795)

BäumerBrinkmannSchwenk. Truncation attack em SSH BPP (Binary Packet Protocol). MITM injeta msgs no handshake antes de KEX; corta extension negotiation; downgrades to weaker ciphers ou strips features.

Mitigado: strict KEX (OpenSSH 9.6+, libssh 0.10.6+).

Bleichenbacher's e-Print SSH 1998

SSH1 nãopadded RSA: Bleichenbacher 1998 variant aplicável.

7. Ataques contra hash

MD5 broken — collisions

Marc Stevens 2007–2008: chosen-prefix collisions em segundos. Forja certificados X.509 (rogue CA, 2008). *lame malware*(2012) usa MD5 collision para forjar Microsoft Windows Update signing — state actor.

SHA-1 broken — SHAttered (2017)

StevensBurszteinKarpmanAlbertiniMarkov. Chosenprefix collision custou ~110 GPUanos. Demo: dois PDFs com mesmo SHA-1.

SHA-1 Shambles (2020)

Leurent-Peyrin. ~US$45k cloud. Forja GPG/X.509 identity arbitrária.

Length extension

Atacante com \(H(\text{secret} \\\| m)\) e \(|\text{secret}|\) pode computar \(H(\text{secret} \\\| m \\\| pad \\\| m')\). Afeta MD5, SHA1, SHA2 (não SHA-3, BLAKE2, ChaCha).

*itigação* use *MAC*ou hash com structural defense (SHA-3 sponge).

Hash flooding (DoS)

Hashmap interno com hash determinístico → adversário força colisões → degrada para O(\(n^2\)) lookup.

Mitigado: *ipHash*keyed (random key per process).

8. Ataques RSA

Bleichenbacher (1998)

Padding oracle em RSA PKCS#1 v1.5. Server vaza "padding valid" vs "invalid" → adaptive CCA recupera plaintext em ~\(10^6\) queries.

Revivido em *OBOT*(2017), variants até hoje.

Bleichenbacher signature forgery (2006)

Em implementations laxas de PKCS#1 v1.5 signature verification, atacante forja signature sem chave privada.

Coppersmith / Hastad

Pequenas mensagens, low exponent (\(e = 3\)): se mesma msg cifrada para vários públicos, CRT + Coppersmith recovers plaintext.

Wiener's attack

Pequeno \(d\) (private exponent): continued fraction expansion of \(e/N\) revela \(d\) se \(d < N^{1/4}/3\).

Boneh-Durfee (1999)

Pequeno \(d < N^{0.292}\) — improvement on Wiener.

Partial key exposure

Bleeding bits de \(d\) via side channel + Coppersmith → reconstroi.

ROCA (2017, CVE201715361)

NemecSysSvendaKlinecMatyas. Infineon chip RSA keygen: \(p, q\) tem structure \(a + (65537^c \mod \text{primorial})\) for small \(c\). Coppersmith ataca em horas (1024bit) ou dias (2048bit).

Affected: smartcards (Estonia eID, Slovakia eID, Spain), TPMs (Yubikey, Microsoft), millions of keys. Massive rotation campaign.

Mining your Ps and Qs (2012)

HeningerDurumericWustrow-Halderman. Scan internet: 0.5% of TLS, SSH keys have shared primes (entropy starvation on embedded boot). \(\gcd(N_1, N_2) = p\) → quebra ambos.

9. Ataques ECC

Invalid curve attacks

Server aceita ponto nãonacurva → ECDH em weak subgroup. Mitigation: validate ponto pertence à curva.

Twist attacks

Curve com twist insecure: atacante envia ponto no twist; ECDH operations vaza chave.

Mitigation: curve com twistsecurity (Curve25519 tem; P* nãotwistsecure mas tem cofactor 1 que mitiga em outras formas).

Small subgroup confinement

Cofator não 1: alguns pontos têm pequena ordem; força resultado em subgroup pequeno → enum trivial.

Nonce reuse / leakage em ECDSA

Como Bitcoin Android 2013, Sony PS3 2010: \(k\) repeated → solve linear system → chave privada.

Mitigado: RFC 6979 deterministic, ou EdDSA (built-in deterministic).

Lattice attacks on ECDSA

Mesmo com \(k\) "quasirandom": few highbits leaked across many signatures → Bleichenbacher lattice attack → chave.

Demonstrated against SGX (Galauschka et al.), Yubikey FIDO (Roche-Lomné 2021 - Minerva attack).

10. Ataques contra geração de chaves

DualECDRBG (2007–2014)

NIST SP 80090A RNG com *ackdoor NSA*suspeitada por ShumowFerguson 2007; *onfirmada*via documentos Snowden (2013); removido em 2014.

Affected:

  • RSA BSAFE — default em alguns products. RSA paid US$10M from NSA (confirmado pós-Snowden).
  • Juniper ScreenOS NetScreen firewalls (2008–2013).
  • Fortinet, McAfee em algumas versões.

Debian OpenSSL RNG bug (2008, CVE20080166)

Maintainer comentou linha de adição de entropy (acidente). Resultado: \(\sim 32k\) chaves SSHSSL únicas em todo DebianUbuntu 2006–2008.

Heninger's "Mining your Ps and Qs" (2012)

(ver §8) — entropy starvation no boot causa shared primes.

ROCA (2017)

(ver §8) — Infineon library bug em prime generation.

Bytom (2018)

Curve confusion: programmer trocou pontos entre curvas. Bug em wallet code.

Wintermute (2022, US$160M lost)

Wallet vanity address tool *rofanity*(ECCKey grinding) tinha entropy weakness: 32-bit seed então atacante força 2^32 → recovers private key by grinding mesma curva.

11. Ataques físicos

Cold boot

Halderman et al. (2008). DRAM retém conteúdo segundos após power; resfriada com lata de ar comprimido, minutos.

Boot from USB com payload mínimo (não sobrescreve RAM crítica) e dumpa via outra USB ou network. Análise offline com aeskeyfind, rsakeyfind, Volatility.

DMA attacks (PCILeech)

Cartão PCIe FPGA-based: leitura direta de RAM bypass kernel. Inserção em slot livre. PCILeech tool (Ulf Frisk).

Mitigação: IOMMU enforce + iommu=strict.

Thunderbolt / USB4

Same DMA principle via Thunderbolt adapters. *nception*tool (legacy). Modern: Thunderclap (USB-C laptops).

Mitigação: desabilitar Thunderbolt em servidor; trust levels em laptops modernos.

JTAG / debug ports

Hardware debug interfaces. Em produção devem ser disabled (fuse blow); muitos boards ainda expõem.

Bus analyzer / DIMM transplant

State-actor lab: interposer entre DIMM e slot lê todo tráfego DDR. DDR4 com data scrambling difícil; DDR3 trivial.

Mitigação: AMD SME / Intel TME (RAM cifrada).

Hardware implants

NSA TAO catalog (Snowden): COTTONMOUTH (USB connector), HOWLERMONKEY (rf), GOPHERSET, MONKEYCALENDAR. Hardware implants modificados.

Detection: difficult; requires Xray, mass spectrometry, or bootchain anomaly detection.

12. Ataques de implementação

Buffer overflows (Heartbleed)

CVE20140160. Memcpy size from attacker without bounds check.

Useafterfree / double-free

GnuTLS bugs, OpenSSL bugs.

Integer overflow

Bitcoin overflow CVE20105139.

Padding oracle (Vaudenay 2002)

Eric Vaudenay generic attack on CBC-MAC. Vary ciphertext, observe error: "padding invalid" vs "MAC invalid". Recovers plaintext.

Aplicações: ASP.NET (2010), TLS Lucky 13, POODLE.

MAC truncation / forgery

Old protocols truncavam MAC; atacante força collision em tag space.

Replay attacks

Mesmo ciphertext reenviado: TLS 1.3 0RTT vulnerável; sessions sem nonce vulneráveis.

Downgrade attacks

Cross-protocol (DROWN), version (POODLE), cipher (FREAK), feature (Terrapin).

Algorithm confusion

JWT: alg: none aceito por libs descuidadas → unsigned tokens passam. CVE20159235 (jwt-simple Node), múltiplos libs.

Path traversal in kid

JWT kid header usado como filename → ../../etc/passwd.

Timing on string compare

Senhas / MACs / API keys comparadas com strcmp/== → primeiro byte diferente, retorna. Atacante mede tempo, bytebybyte recovery.

Mitigação: constant-time compare (crypto.timingSafeEqual, subtle.ConstantTimeCompare, CRYPTO_memcmp).

13. Ataques quânticos

Shor (1994)

Polynomial-time quantum algorithm for IFP, DLP. Quebra:

  • RSA (any size).
  • DH (any group).
  • ECDSA, ECDH (any curve).

Grover (1996)

Quadratic speedup search. Reduz:

  • AES128 → 64bit effective security.
  • SHA256 preimage → 128bit.
  • SHA256 collision → ~85bit (BHT, BrassardHøyerTapp).

Status hardware (2026)

Não há quantum computer com qubits lógicos suficientes para Shor RSA2048. Estimase ~20M qubits físicos com error correction. Possivelmente 2030–2040.

HNDL (Harvest Now Decrypt Later)

Coletar TLS/VPN cifrado hoje, armazenar até quantum estar disponível. Por isso PQC migration *gora*

14. Ataques contra blockchain

51% attack

Mineração majority → reescreve recent blocks. Bitcoin nunca; ETH Classic 2019, Bitcoin Gold 2018.

Selfish mining

Eyal-Sirer 2014. Esconder bloco enquanto continua minerar — wastes other miners' work, profits even with <50%.

Eclipse attack

Isolate node, feed only adversary blocks. Heilman et al. 2015.

Replay across forks

Hard fork sem chain ID protection (Bitcoin Cash early days) → tx replayed em ambos.

Smart contract attacks

Não-crypto per se:

  • *eentrancy*(The DAO 2016, US$60M).
  • *nteger overflow*(BeautyChain).
  • *ront-running / MEV*(sandwich attacks, arbitrage).
  • *lash loan attacks*(bZx, Harvest, Cream).
  • *ridge hacks*(Ronin, Wormhole, Nomad — $US bilhões).

15. Ataques contra randomness

Predictable PRNG seeds

  • Netscape 1995: seeded from time + PID; only ~\(10^4\) possibilities.
  • Bitcoin wallets with Math.random().
  • VMs cloned com mesmo entropy state.

Reuse of nonce

ECDSA, GCM, ChaCha20-Poly1305 — nonce reuse = catastrophic.

Weak entropy on boot

Embedded devices, IoT, just-booted VMs.

TRNG manipulation

Voltage/temp affects ring oscillators. Some implementations vulnerable.

Backdoored DRBGs

DualECDRBG (NIST/NSA). Possibly others.

16. Ataques contra CAs e PKI

Comodo (2011)

Resseller compromise, fraudulent certs for Google, Microsoft, Yahoo, Skype, Mozilla. Affected Iran users.

DigiNotar (2011)

CA inteira hackeada (Iranian state actor). 500+ fraudulent certs incluindo *.google.com. CA distrusted globally — DigiNotar foi à falência.

TURKTRUST (2013)

CA emitiu cert intermediário a empresa que usou para MITM seu próprio tráfego.

Symantec (2017)

Misissued certs históricos descobertos. Google/Mozilla distrusted Symantec roots; vendido para DigiCert.

Let's Encrypt CAA bug (2020)

15M certs misissued (CAA check timing). Revoked.

Mitigação: Certificate Transparency

RFC 6962. CT logs appendonly public. Browsers requerem SCTs. Detecção rápida de misissuance.

17. Tabela de ataques memoráveis por categoria

Categoria Ataques notáveis
Cipher cryptanalysis Linear/Diff DES, AES related-key (theoretical), RC4 biases, DES Deep Crack
Hash MD5 chosenprefix, SHA1 SHAttered/Shambles
RSA Bleichenbacher 98/ROBOT 17, Coppersmith, ROCA, Mining Ps&Qs
ECC Sony PS3, Bitcoin Android, Minerva (Yubikey FIDO)
Side-channel SpectreMeltdownMDS/Foreshadow family, Plundervolt, Hertzbleed
Protocol BEAST, CRIME, BREACH, Lucky 13, POODLE, FREAK, Logjam, DROWN, Sweet32, Heartbleed, Terrapin
Impl OpenSSL Heartbleed, Debian RNG, DualECDRBG
Physical Cold boot, PCILeech, Rowhammer, EM, acoustic
PKI DigiNotar, Comodo, TURKTRUST, Symantec
Crypto-currency Sony PS3 wallet, Bitcoin Android wallets, Wintermute
Quantum Shor (theoretical pending hardware), SIKE killed 2022

18. Ferramentas / labs / CTF

  • *WASP* *ortSwigger Crypto Academy*
  • *ryptopals*(cryptopals.com) — set de exercícios famosos para aprender ataques.
  • *ryptoHack*— gamified.
  • *icoCTF* *ackTheBox* *ryhackme*— crypto categories.
  • *lack Hat / DEF CON / RWC*talks.
  • *hipWhisperer*(NewAE) — physical SCA lab.

19. Recomendações de hardening 2026

Para implementadores:

  1. Use TLS 1.3 only; never legacy.
  2. Use AEAD; never CBC sem MAC.
  3. Constant-time everything que toca segredo.
  4. Random via OS API; never custom PRNG.
  5. RFC 6979 for ECDSA ou move para Ed25519/EdDSA.
  6. IOMMU enforce.
  7. Memory encryption (SME/TME) habilitado em BIOS.
  8. PQC hybrid em qualquer tráfego de longa retenção.
  9. Microcode updates aplicados rapidamente após disclosures.
  10. SMT desabilitado em workloads sensíveis a side-channel.

20. Referência cruzada

  • Algoritmos atacados: 04-simetrica.md, 05-assimetrica.md, 06-hash-e-mac.md.
  • Protocolos atacados: 07-protocolos.md.
  • Confidential computing como defesa: 09-confidential-computing.md.
  • Incidentes contextualizados: 13-incidentes.md.
  • Pessoas (Kocher, Bleichenbacher, Coppersmith, Wang, Stevens, Marc...): 12-pessoas.md.

Source: ../home/koder/dev/koder/meta/docs/cryptography/compendium/11-ataques.md