notatka

TEMPEST, TEAPOT i inne
Michał Ren
7 grudnia 2004
1
Timeline
• 1914 — armia niemiecka używa wzmacniaczy i elektrod wbijanych w ziemię do podsłuchiwania
telefonów brytyjskich
• 1915 — armia brytjska zauważa problem, pojawia się twisted pair; próbują bez skutku podsłuchiwać armię niemiecką
• 1960 — MI5 zakłada podsłuch na kabel wychodzący z ambasady francuskiej, odkrywa że plaintext
przecieka
• 1960 — w USA pojawia się program TEMPEST
• 1985 — Wim van Eck pokazuje podsłuchiwanie video za pomocą zmodyfikowanego telewizora
• 1998 — Markus Kuhn pokazuje celową modulację sygnału
• 1999 — na światło dzienne wychodzi TEAPOT — program USA dotyczący celowego wywoływania łatwych do odczytu sygnałów
• 2002 — optyczne podsłuchiwanie
Legalne wykorzystanie — śledzenie klientów niepłacących za odbiór programów TV (GB). Żadne przestępcze użycie TEMPESTa/TEAPOTu nie zostało zarejestrowane.
2
Odbiorniki analogowe
• Konieczny odbiornik szerokozakresowy (antena też).
• Idealny impuls — nieskończenie cienki. Reprezentacja Fouriera daje nieskończoną ilość cosinusoid,
które zaczynają się w początku, a w reszcie się wygaszają. Nieskończona energia. Praktyczny
impuls ma skończoną energię i długość większą od zera.
• VESA dopuszcza dokładność 0.5% timingów. Kiedyś pixel clock (640 × 480 × 60Hz) miał 25MHz,
ja mam 230MHz.
• „Odwrócenie” twierdzenia Nyquist’a — sygnał z pixel clock fp można przedstawić za pomocą
sygnału którego transformata Fouriera jest zerowa dla częstotliwości większych niż 12 fp .
• Za czasów van Eyck’a piksele w monitorach były return-to-zero, żeby nie robić jaśniejszych w
środku ekranu. (częstotliwość ok. 8 MHz) Teraz się już tak nie robi.
• Generator zegara powinien być regulowany z dokładnością 1/108 .
• Dla sygnału z fp =50MHz, łapanie przy bandwidth 100MHz daje Effective Isotropic Radiated
Power około 15 nW.
• Fonty — wystarczy uciąć 30% górnych częstotliwości żeby sygnał osłabł o 12dB. Anti-aliasing
nie daje prawie nic.
• Teapot — kodowanie w dither patterns. Musi być „zmiękczane” i kalibrowane do konkretnego
monitora, jeśli ma być niezauważone. Ważna jest szybka pozioma modulacja.
• Teapot — atakujący widzi tylko zmiany białe/czarne — może by wprowadzić szum do fontów?
Ale skoro tak, to może by wprowadzić szum który coś ułatwia?
• Teapot — nie tylko to co widać jest przesyłane do monitora. Nawet przy czarnym obrazie widać
że są przecieki z zasilacza. Może można coś ukryć w sygnale synchronizacji?
1
3
Cyfrowe wyświetlacze
• Wydawałoby się, że LCD nie powinien emitować tyle promieniowania; CRT wzmacnia sygnał 100
razy żeby go przyłożyć do siatki sterującej. Jednak widać wyraźne obrazy, a EIRP to 150nW!
• Wina leży w kablu w zawiasie laptopa. Sygnał z laptopa jest serializowany i ma dość wysoką
częstotliwość (ok. 175MHz).
• Sygnalizacja Lov Voltage Differential Signalling, brak modulacji — 1 to 1, 0 to 0. Można się
bronić próbując ustawiać foreground i background na podobne sygnały — różna faza.
• DVI ma EIRP ok. 120nW.
• DVI używa TMDS: wartość 8 bit koloru d7 d6 . . . d0 — q0 = d0 , jeśli jest więcej zer to qi = qi−1 ⊕di ,
q8 = 1, jeśli jedynek to: qi = ¬qi−1 ⊕di , q8 = 0. Ostatni bit — albo 1 i wszystkie pozostałe odwraca,
albo 0; zależy co da równiejszą ilość zer i jedynek.
10101010 −→ 011001100
01010101 −→ 100110011
00000000 −→ 100000000
11111111 −→ 011111111
• Podczas synchronizacji specjalne słowa 0010101011, 1101010100, 0010101010, 1101010101. Po 8
zmian poziomów; normalnie najwyżej 5 wliczając granicę słów!
• Teapot — kombinacje koloru które niby wyglądają tak samo, ale są skrajnie różne radiowo.
4
Optyka
• Niebieskie punkty wypromieniowują dwa rzędy wielkości więcej energii niż czerwone (zielone
niewiele więcej).
• Niebieskie i zielone barwniki oddają energię jak izotopy radioaktywne. Nawet po godzinie jeszcze
coś zostanie.
• Główny problem to „shot noise” — różna ilość fotonów. Przy bezpośredniej obserwacji, teleskop
0.3m2 przy normalnym oświetleniu da około 80m. Przy ścianie odbijającej z 2m i „późnym wieczorem” 50m.
• Teapot — wykorzystać długotrwałe przechowywanie obrazu?
• Teapot — włączać/wyłączać urządzenie.
Literatura
[1] Markus G. Kuhn, Compromising emanations: eavesdropping risks of computer displays, University
of Cambridge Computer Laboratory Technical Report UCAM-CL-TR-577, December 2003
[2] Markus G. Kuhn, Optical Time-Domain Eavesdropping Risks of CRT Displays, 2002 IEEE Symposium on Security and Privacy, Berkeley, California, 12-15 May 2002, IEEE Computer Society,
pp. 3-18, ISBN 0-7695-1543-6
[3] Markus G. Kuhn, Electromagnetic Eavesdropping Risks of Flat-Panel Displays, 4th Workshop on
Privacy Enhancing Technologies, 26-28 May 2004, Toronto, Canada
[4] Markus G. Kuhn, Ross J. Anderson, Soft Tempest: Hidden Data Transmission Using Electromagnetic Emanations, IH’98, Portland, Oregon, USA, April 15-17, 1998, Proceedings, LNCS 1525,
Springer-Verlag, pp. 124-142, ISBN 3-540-65386-4
[5] Joe Loughry, David A. Umphress Information Leakage from Optical Emanations ACM Trans. Info.
Sys. Security, Vol. 5, No. 3, pp. 262-289
[6] Joel McNamara The Complete, Unofficial TEMPEST Information Page
[7] Cryptome.org/nsa-tempest.htm
2