Das Wissensportal für IT-Professionals. Entdecke die Tiefe und Breite unseres IT-Contents in exklusiven Themenchannels und Magazinmarken.

SIGS DATACOM GmbH

Lindlaustraße 2c, 53842 Troisdorf

Tel: +49 (0)2241/2341-100

kundenservice@sigs-datacom.de

String-Vergleich gegen Timing-Angriffe härten

Der String-Vergleich über die Methode String#equals in Java ist anfällig für Timing-Angriffe. Der oft empfohlene Lösungsansatz ist schwierig korrekt zu implementieren. Aber selbst eine korrekte Implementierung kann bei der Ausführung noch für Timing-Angriffe anfällig sein. Die hier vorgestellte Methode schließt diese Probleme prinzipiell aus.

Timing-Angriffe (siehe Kasten „Timing-Angriffe“) beim String-Vergleich werden oft an Passwörtern illustriert. Ein übermitteltes Passwort muss mit einem gespeicherten verglichen werden. Da Passwörter in der Regel außerordentlich gut geschützt werden, sind sie eher nicht für Timing-Angriffe anfällig (siehe Kasten „Passwörter und Timing-Angriffe“). Ein realistischeres Szenario wird im Folgenden vorgestellt.


Timing-Angriffe

Timing-Angriffe gehören zur Klasse der Seitenkanalangriffe. Seitenkanalangrif…