11 — Ataques Criptográficos

Taxonomia completa: criptanálise matemática, side-channel, ataques de protocolo, ataques de implementação, ataques físicos, ataques quânticos. Para cada: princípio, ferramentas, mitigação.


1. Modelos de adversário (recap)

Cobertos em 02-fundamentos.md §4. Resumo:

Modelo Adversário pode
COA Ver ciphertexts
KPA Ver pares (P, C)
CPA Pedir encryption de P escolhido
CCA1 Pedir decryption antes do desafio
CCA2 Pedir decryption adaptativamente
Side-channel Medir tempopowerEM/cache durante execução
Fault Injetar erros
Físico Acesso direto ao hardware
Multi-target Atacar muitas chaves simultaneamente

2. Criptanálise matemática

Análise de frequência

Al-Kindi (~850). Letras de texto natural têm distribuição não-uniforme. Quebra qualquer substituição monoalfabética.

Index of Coincidence

William Friedman (1922). Mede quão "natural" uma distribuição é. Detecta tamanho de chave em polialfabéticas (Vigenère).

Kasiski examination

Friedrich Kasiski (1863). Repetições de plaintext-com-mesmo-keystream geram repetições em ciphertext em distância múltipla do tamanho da chave.

Linear cryptanalysis

Mitsuru Matsui (1993). Aproximações lineares de S-boxes. Quebra DES com \(2^{43}\) plaintexts conhecidos.

Differential cryptanalysis

Eli Biham + Adi Shamir (publicado 1990; NSA já sabia em 1974). Analisa diferenças (\(\Delta P, \Delta C\)). DES projetado para resistir (S-box choice).

Algebraic cryptanalysis

Sistemas polinomiais sobre \(\mathbb{F}_2\) (XL, Gröbner basis). Quebrou Rainbow (multivariate signature 2022).

Meet-in-the-middle

Diffie-Hellman 1977. Quebra dupla criptografia: em vez de \(2^{2k}\) chaves combinadas, \(2^k\) tentativas armazenadas + \(2^k\) buscas = \(2^{k+1}\).

Aplicação: 2DES tem segurança ~\(2^{57}\) (não \(2^{112}\)). Por isso 3DES usa EDE com 3 chaves diferentes (não 2).

Birthday attack

Em hash de \(n\) bits, espera-se colisão após ~\(2^{n/2}\) tentativas (paradoxo do aniversário).

Aplicação: SHA-256 dá 128 bits de collision resistance. SHA-1 quebrada em 2017 com ~\(2^{63}\) work.

Index calculus / Pollard's rho

Algoritmos para DLP em \(\mathbb{Z}_p^*\). Reduzem para subexponential. Por isso DH precisa \(|p|\) grande (3072+ bits).

Number Field Sieve (NFS)

Algoritmo subexponential para IFP e DLP. Por isso RSA-2048 fica limítrofe.

Special NFS vs General NFS: SNFS funciona em primos com estrutura especial. Caso famoso: Logjam (2015) — DH com primos pré-computados de 1024 bit quebráveis com SNFS pelo NSA.

Coppersmith's method

Don Coppersmith (1996). Achar raízes pequenas de polinômios mod \(N\). Quebra RSA quando:

  • Mensagem pequena com low exponent + padding parcialmente conhecido.
  • Chaves com bits parcialmente leak (boneh-durfee, partial key exposure).
  • ROCA: Infineon RSA keys têm structure que Coppersmith ataca em horas.

Lattice reduction (LLL, BKZ)

Lenstra-Lenstra-Lovász (1982). Reduz lattice basis. Base de:

  • Coppersmith.
  • Quebrar NTRU implementações fracas.
  • LWE attacks (PQC analysis).
  • Knapsack cryptosystems (quebrados 1980s).

3. Side-channel attacks

Timing attacks

Paul Kocher (1996). Medir tempo de operação revela bits de chave.

Vulneráveis:

  • Square-and-multiply em RSA (branching no bit).
  • Mongtomery ladder mal implementada.
  • AES com table lookups (cache timing — Bernstein 2005, Tromer-Osvik-Shamir 2005).
  • HMAC compare não-constant-time (timing leak no número de bytes iguais).

Mitigação: constant-time impl. Bernstein evangelist. AES-NI, SHA Extensions, ChaCha/Poly1305 ARX-native.

Power analysis

Paul Kocher, Joshua Jaffe, Benjamin Jun (1998).

  • SPA (Simple Power Analysis): visual inspection do trace.
  • DPA (Differential Power Analysis): estatística sobre muitos traces.
  • CPA (Correlation Power Analysis): correlation Pearson entre modelo e trace.

Devastador contra smartcards / embedded. Mitigação: masking (split secret em shares), hiding (constant-power circuits).

Electromagnetic (EM)

TEMPEST (NSA, 1960s+). EM emissions de equipamento vazam dados. Modern: extraction de chave RSA de laptop com smartphone próximo (Genkin et al. 2014).

Acoustic

Genkin-Shamir-Tromer 2013: extraem RSA private key de um computador medindo som de capacitores via microfone.

Cache attacks

  • Prime+Probe: atacante preenche cache; vítima executa; atacante mede latência de re-acesso → revela quais lines vítima usou.
  • Flush+Reload: shared memory + clflush. Devastador em cloud (cross-VM).
  • Evict+Reload, Prime+Abort.

Aplicações: extrair chaves AES T-table, RSA window, ECDSA nonce bits.

Branch prediction attacks

  • Spectre v1 (Bounds Check Bypass): treina branch predictor, especulação vaza via cache.
  • Spectre v2 (Branch Target Injection): atacante controla branch target.

Speculative execution attacks

  • Meltdown (2018) — rogue data cache load. Read kernel da userspace via OOO. Intel-specific (AMD safe).
  • Foreshadow / L1TF (2018) — terminal fault, leak da L1 incluindo SGX.
  • MDS / RIDL / ZombieLoad / Fallout (2019) — leak via microarchitectural buffers (LFB, store buffer, fill buffer).
  • PortSmash (2018) — SMT port contention.
  • PACMAN (2022) — Apple M1 pointer auth bypass.
  • Hertzbleed (2022) — frequency scaling leak.
  • Downfall (2023) — Gather instruction Intel.
  • Inception / SRSO (2023) — AMD Zen.

Microarchitectural mitigações (Linux/kernel)

mitigations=auto  # default
kpti              # Kernel page table isolation
retpoline         # software call/ret indirection
ibrs              # Indirect Branch Restricted Speculation
ssbd              # Speculative Store Bypass Disable
mds=full          # MDS mitigation
tsx_async_abort   # TAA

Custo: 5–30% performance depending on workload.

Frequency / voltage attacks

  • Plundervolt (2019): underclock CPU dynamically; cause SGX computation to fault and leak.
  • VoltJockey — variants.
  • PlatypusPRD — RAPL power telemetry leak.

4. Fault attacks

Bellcore attack (1997)

Boneh-DeMillo-Lipton. Erro em CRT-RSA durante decryption revela \(p, q\) via \(\gcd(N, m - m')\).

Mitigação: verify após sign (compute \(E(D(m)) = m\)).

DFA (Differential Fault Analysis)

Biham-Shamir 1997. Erro em última round de DES/AES revela chave.

Rowhammer

Kim et al. (2014). Repeated rapidly access to DRAM rows flips bits in adjacent rows. Bypass memory isolation.

Variants:

  • Drammer (2016): Android root via Rowhammer.
  • Throwhammer: over network.
  • NetHammer.
  • Hammulator, TRRespass — bypass mitigations.
  • RAMBleed (2019) — read em vez de write.
  • SMASH (2022) — JavaScript.
  • Half-Double (2021) — Google.

DDR4 menos vulnerável que DDR3; DDR5 com tighter timing.

Glitching attacks

  • Voltage glitching: drop Vcc brevemente — pula instruções.
  • Clock glitching: pulse rápido — skip cycles.
  • EM glitching: pulse eletromagnético direcionado — flip bit.
  • Laser fault injection: laboratório.

Devastador em smartcards / embedded. Comerciais: ChipWhisperer.


5. Ataques de protocolo TLS/SSL

BEAST (2011)

Browser Exploit Against SSLTLS. Duong-Rizzo. CBC IV chaining em SSL 3.0TLS 1.0: atacante prediz IV próximo, escolhe plaintext para revelar bytes.

Mitigado: TLS 1.1+ usa IV explícito. Browsers patch: 1/n-1 split.

CRIME (2012)

Compression Ratio Info-leak Made Easy. Atacante injeta chosen plaintext em request HTTPS junto com cookie; compressão (DEFLATE) revela size info do match.

Mitigado: desabilita TLS compression.

BREACH (2013)

CRIME variant — explora HTTP-level gzip compression em response. Mais difícil de mitigar.

Lucky 13 (2013)

AlFardan-Paterson. Timing em MAC-then-encrypt CBC (TLS pre-1.2): tempo de verify revela padding.

Mitigado: AEAD (GCM/Poly1305), Encrypt-then-MAC (RFC 7366), constant-time MAC.

POODLE (2014)

Padding Oracle On Downgraded Legacy Encryption. Möller-Duong-Kotowicz. Força downgrade SSL 3.0; explora padding determinístico não-MACed.

Mitigado: desabilita SSL 3.0. TLSFALLBACKSCSV (RFC 7507) sinaliza no downgrade.

Heartbleed (2014, CVE-2014-0160)

Bug de implementação OpenSSL no Heartbeat extension. Buffer over-read: cliente pede 64KB de memory do server especificando length grande mas payload pequeno; server retorna 64KB de heap residual.

Vaza:

  • Private keys (RSA exponent recovery from key schedule).
  • Session cookies, passwords, plaintext recente.

Estima: 17% dos web servers afetados. Reset todo TLS cert do mundo após patch.

FREAK (2015)

Factoring RSA Export Keys. Beurdouche et al. State machine bug em OpenSSLAppleMicrosoft TLS stacks: server aceita 512-bit RSA "export grade" mesmo sem negotiation. 512-bit RSA quebrável em ~7 horas via NFS.

Logjam (2015)

Adrian et al. State machine bug + DH parameter sharing. Servers usam mesmos primos DH-1024. NSA (estimado) pré-computa NFS para 1024-bit common groups → quebra session keys retroactively.

Mitigado: DH 2048+ ou ECDH. RFC 7919 named groups.

DROWN (2016)

Decrypting RSA with Obsolete and Weakened eNcryption. Aviram et al. Cross-protocol attack. Server com SSLv2 habilitado (mesmo em outra porta) compartilha chave RSA → SSLv2 Bleichenbacher vulnerability → decrypt TLS handshake.

Mitigado: kill SSLv2 globally.

Sweet32 (2016)

Bhargavan-Leurent. Birthday bound em 64-bit block ciphers (3DES, Blowfish). ~32 GB tráfego CBC/CTR com mesma chave: colisão de blocos revela XOR de plaintexts.

Mitigado: AES (128-bit blocks); rekey após volume.

ROBOT (2017)

Return Of Bleichenbacher's Oracle Threat. Böck-Somorovsky-Young. Servers (Cisco, F5, Citrix, Erlang) ainda vulneráveis a Bleichenbacher 1998 PKCS#1 v1.5 padding oracle, 19 anos depois. Decifra RSA-key-transport handshakes ou forja signatures.

Mitigado: TLS 1.3 (sem RSA key transport), PSS para signing, constant-time padding check.

Raccoon (2020)

Merget-Brinkmann-Aviram. DH timing leak em TLS 1.2: server unpads DH shared secret antes de hash → timing reveals leading zeros → solving discrete log easier.

Triple Handshake (2014)

Bhargavan et al. Cross-protocol cross-version. TLS Renegotiation extension fix didn't fully cover.

TLS-PSK + Pre-Shared Key issues

CVE-2022-0778 — OpenSSL bug em BNmodsqrt (loop infinito). Mais imp bug que crypto-break.


6. Ataques de protocolo SSH

CBC Plaintext Recovery (Albrecht et al. 2009)

OpenSSH CBC mode com chained IV: atacante recupera 14 bits plaintext per gigabyte de tráfego.

Mitigado: AEAD (chacha20-poly1305, AES-GCM); CBC disabled default.

Terrapin (2023, CVE-2023-48795)

Bäumer-Brinkmann-Schwenk. Truncation attack em SSH BPP (Binary Packet Protocol). MITM injeta msgs no handshake antes de KEX; corta extension negotiation; downgrades to weaker ciphers ou strips features.

Mitigado: strict KEX (OpenSSH 9.6+, libssh 0.10.6+).

Bleichenbacher's e-Print SSH 1998

SSH-1 não-padded RSA: Bleichenbacher 1998 variant aplicável.


7. Ataques contra hash

MD5 broken — collisions

Marc Stevens 2007–2008: chosen-prefix collisions em segundos. Forja certificados X.509 (rogue CA, 2008). Flame malware (2012) usa MD5 collision para forjar Microsoft Windows Update signing — state actor.

SHA-1 broken — SHAttered (2017)

Stevens-Bursztein-Karpman-Albertini-Markov. Chosen-prefix collision custou ~110 GPU-anos. Demo: dois PDFs com mesmo SHA-1.

SHA-1 Shambles (2020)

Leurent-Peyrin. ~US$45k cloud. Forja GPG/X.509 identity arbitrária.

Length extension

Atacante com \(H(\text{secret} \\\| m)\) e \(|\text{secret}|\) pode computar \(H(\text{secret} \\\| m \\\| pad \\\| m')\). Afeta MD5, SHA-1, SHA-2 (não SHA-3, BLAKE2, ChaCha).

Mitigação: use HMAC ou hash com structural defense (SHA-3 sponge).

Hash flooding (DoS)

Hashmap interno com hash determinístico → adversário força colisões → degrada para O(\(n^2\)) lookup.

Mitigado: SipHash keyed (random key per process).


8. Ataques RSA

Bleichenbacher (1998)

Padding oracle em RSA PKCS#1 v1.5. Server vaza "padding valid" vs "invalid" → adaptive CCA recupera plaintext em ~\(10^6\) queries.

Revivido em ROBOT (2017), variants até hoje.

Bleichenbacher signature forgery (2006)

Em implementations laxas de PKCS#1 v1.5 signature verification, atacante forja signature sem chave privada.

Coppersmith / Hastad

Pequenas mensagens, low exponent (\(e = 3\)): se mesma msg cifrada para vários públicos, CRT + Coppersmith recovers plaintext.

Wiener's attack

Pequeno \(d\) (private exponent): continued fraction expansion of \(e/N\) revela \(d\) se \(d < N^{1/4}/3\).

Boneh-Durfee (1999)

Pequeno \(d < N^{0.292}\) — improvement on Wiener.

Partial key exposure

Bleeding bits de \(d\) via side channel + Coppersmith → reconstroi.

ROCA (2017, CVE-2017-15361)

Nemec-Sys-Svenda-Klinec-Matyas. Infineon chip RSA keygen: \(p, q\) tem structure \(a + (65537^c \mod \text{primorial})\) for small \(c\). Coppersmith ataca em horas (1024-bit) ou dias (2048-bit).

Affected: smartcards (Estonia eID, Slovakia eID, Spain), TPMs (Yubikey, Microsoft), millions of keys. Massive rotation campaign.

Mining your Ps and Qs (2012)

Heninger-Durumeric-Wustrow-Halderman. Scan internet: 0.5% of TLS, SSH keys have shared primes (entropy starvation on embedded boot). \(\gcd(N_1, N_2) = p\) → quebra ambos.


9. Ataques ECC

Invalid curve attacks

Server aceita ponto não-na-curva → ECDH em weak subgroup. Mitigation: validate ponto pertence à curva.

Twist attacks

Curve com twist insecure: atacante envia ponto no twist; ECDH operations vaza chave.

Mitigation: curve com twist-security (Curve25519 tem; P-* não-twist-secure mas tem cofactor 1 que mitiga em outras formas).

Small subgroup confinement

Cofator não 1: alguns pontos têm pequena ordem; força resultado em subgroup pequeno → enum trivial.

Nonce reuse / leakage em ECDSA

Como Bitcoin Android 2013, Sony PS3 2010: \(k\) repeated → solve linear system → chave privada.

Mitigado: RFC 6979 deterministic, ou EdDSA (built-in deterministic).

Lattice attacks on ECDSA

Mesmo com \(k\) "quasi-random": few high-bits leaked across many signatures → Bleichenbacher lattice attack → chave.

Demonstrated against SGX (Galauschka et al.), Yubikey FIDO (Roche-Lomné 2021 - Minerva attack).


10. Ataques contra geração de chaves

DualECDRBG (2007–2014)

NIST SP 800-90A RNG com backdoor NSA suspeitada por Shumow-Ferguson 2007; confirmada via documentos Snowden (2013); removido em 2014.

Affected:

  • RSA BSAFE — default em alguns products. RSA paid US$10M from NSA (confirmado pós-Snowden).
  • Juniper ScreenOS NetScreen firewalls (2008–2013).
  • Fortinet, McAfee em algumas versões.

Debian OpenSSL RNG bug (2008, CVE-2008-0166)

Maintainer comentou linha de adição de entropy (acidente). Resultado: \(\sim 32k\) chaves SSHSSL únicas em todo DebianUbuntu 2006–2008.

Heninger's "Mining your Ps and Qs" (2012)

(ver §8) — entropy starvation no boot causa shared primes.

ROCA (2017)

(ver §8) — Infineon library bug em prime generation.

Bytom (2018)

Curve confusion: programmer trocou pontos entre curvas. Bug em wallet code.

Wintermute (2022, US$160M lost)

Wallet vanity address tool profanity (ECCKey grinding) tinha entropy weakness: 32-bit seed então atacante força 2^32 → recovers private key by grinding mesma curva.


11. Ataques físicos

Cold boot

Halderman et al. (2008). DRAM retém conteúdo segundos após power; resfriada com lata de ar comprimido, minutos.

Boot from USB com payload mínimo (não sobrescreve RAM crítica) e dumpa via outra USB ou network. Análise offline com aeskeyfind, rsakeyfind, Volatility.

DMA attacks (PCILeech)

Cartão PCIe FPGA-based: leitura direta de RAM bypass kernel. Inserção em slot livre. PCILeech tool (Ulf Frisk).

Mitigação: IOMMU enforce + iommu=strict.

Thunderbolt / USB4

Same DMA principle via Thunderbolt adapters. Inception tool (legacy). Modern: Thunderclap (USB-C laptops).

Mitigação: desabilitar Thunderbolt em servidor; trust levels em laptops modernos.

JTAG / debug ports

Hardware debug interfaces. Em produção devem ser disabled (fuse blow); muitos boards ainda expõem.

Bus analyzer / DIMM transplant

State-actor lab: interposer entre DIMM e slot lê todo tráfego DDR. DDR4 com data scrambling difícil; DDR3 trivial.

Mitigação: AMD SME / Intel TME (RAM cifrada).

Hardware implants

NSA TAO catalog (Snowden): COTTONMOUTH (USB connector), HOWLERMONKEY (rf), GOPHERSET, MONKEYCALENDAR. Hardware implants modificados.

Detection: difficult; requires X-ray, mass spectrometry, or boot-chain anomaly detection.


12. Ataques de implementação

Buffer overflows (Heartbleed)

CVE-2014-0160. Memcpy size from attacker without bounds check.

Use-after-free / double-free

GnuTLS bugs, OpenSSL bugs.

Integer overflow

Bitcoin overflow CVE-2010-5139.

Padding oracle (Vaudenay 2002)

Eric Vaudenay generic attack on CBC-MAC. Vary ciphertext, observe error: "padding invalid" vs "MAC invalid". Recovers plaintext.

Aplicações: ASP.NET (2010), TLS Lucky 13, POODLE.

MAC truncation / forgery

Old protocols truncavam MAC; atacante força collision em tag space.

Replay attacks

Mesmo ciphertext re-enviado: TLS 1.3 0-RTT vulnerável; sessions sem nonce vulneráveis.

Downgrade attacks

Cross-protocol (DROWN), version (POODLE), cipher (FREAK), feature (Terrapin).

Algorithm confusion

JWT: alg: none aceito por libs descuidadas → unsigned tokens passam. CVE-2015-9235 (jwt-simple Node), múltiplos libs.

Path traversal in kid

JWT kid header usado como filename → ../../etc/passwd.

Timing on string compare

Senhas / MACs / API keys comparadas com strcmp/== → primeiro byte diferente, retorna. Atacante mede tempo, byte-by-byte recovery.

Mitigação: constant-time compare (crypto.timingSafeEqual, subtle.ConstantTimeCompare, CRYPTO_memcmp).


13. Ataques quânticos

Shor (1994)

Polynomial-time quantum algorithm for IFP, DLP. Quebra:

  • RSA (any size).
  • DH (any group).
  • ECDSA, ECDH (any curve).

Grover (1996)

Quadratic speedup search. Reduz:

  • AES-128 → 64-bit effective security.
  • SHA-256 preimage → 128-bit.
  • SHA-256 collision → ~85-bit (BHT, Brassard-Høyer-Tapp).

Status hardware (2026)

Não há quantum computer com qubits lógicos suficientes para Shor RSA-2048. Estima-se ~20M qubits físicos com error correction. Possivelmente 2030–2040.

HNDL (Harvest Now Decrypt Later)

Coletar TLS/VPN cifrado hoje, armazenar até quantum estar disponível. Por isso PQC migration agora.


14. Ataques contra blockchain

51% attack

Mineração majority → reescreve recent blocks. Bitcoin nunca; ETH Classic 2019, Bitcoin Gold 2018.

Selfish mining

Eyal-Sirer 2014. Esconder bloco enquanto continua minerar — wastes other miners' work, profits even with <50%.

Eclipse attack

Isolate node, feed only adversary blocks. Heilman et al. 2015.

Replay across forks

Hard fork sem chain ID protection (Bitcoin Cash early days) → tx replayed em ambos.

Smart contract attacks

Não-crypto per se:

  • Reentrancy (The DAO 2016, US$60M).
  • Integer overflow (BeautyChain).
  • Front-running / MEV (sandwich attacks, arbitrage).
  • Flash loan attacks (bZx, Harvest, Cream).
  • Bridge hacks (Ronin, Wormhole, Nomad — $US bilhões).

15. Ataques contra randomness

Predictable PRNG seeds

  • Netscape 1995: seeded from time + PID; only ~\(10^4\) possibilities.
  • Bitcoin wallets with Math.random().
  • VMs cloned com mesmo entropy state.

Reuse of nonce

ECDSA, GCM, ChaCha20-Poly1305 — nonce reuse = catastrophic.

Weak entropy on boot

Embedded devices, IoT, just-booted VMs.

TRNG manipulation

Voltage/temp affects ring oscillators. Some implementations vulnerable.

Backdoored DRBGs

DualECDRBG (NIST/NSA). Possibly others.


16. Ataques contra CAs e PKI

Comodo (2011)

Resseller compromise, fraudulent certs for Google, Microsoft, Yahoo, Skype, Mozilla. Affected Iran users.

DigiNotar (2011)

CA inteira hackeada (Iranian state actor). 500+ fraudulent certs incluindo *.google.com. CA distrusted globally — DigiNotar foi à falência.

TURKTRUST (2013)

CA emitiu cert intermediário a empresa que usou para MITM seu próprio tráfego.

Symantec (2017)

Misissued certs históricos descobertos. Google/Mozilla distrusted Symantec roots; vendido para DigiCert.

Let's Encrypt CAA bug (2020)

15M certs misissued (CAA check timing). Revoked.

Mitigação: Certificate Transparency

RFC 6962. CT logs append-only public. Browsers requerem SCTs. Detecção rápida de mis-issuance.


17. Tabela de ataques memoráveis por categoria

Categoria Ataques notáveis
Cipher cryptanalysis Linear/Diff DES, AES related-key (theoretical), RC4 biases, DES Deep Crack
Hash MD5 chosen-prefix, SHA-1 SHAttered/Shambles
RSA Bleichenbacher 98/ROBOT 17, Coppersmith, ROCA, Mining Ps&Qs
ECC Sony PS3, Bitcoin Android, Minerva (Yubikey FIDO)
Side-channel SpectreMeltdownMDS/Foreshadow family, Plundervolt, Hertzbleed
Protocol BEAST, CRIME, BREACH, Lucky 13, POODLE, FREAK, Logjam, DROWN, Sweet32, Heartbleed, Terrapin
Impl OpenSSL Heartbleed, Debian RNG, DualECDRBG
Physical Cold boot, PCILeech, Rowhammer, EM, acoustic
PKI DigiNotar, Comodo, TURKTRUST, Symantec
Crypto-currency Sony PS3 wallet, Bitcoin Android wallets, Wintermute
Quantum Shor (theoretical pending hardware), SIKE killed 2022

18. Ferramentas / labs / CTF

  • OWASP, PortSwigger Crypto Academy.
  • Cryptopals (cryptopals.com) — set de exercícios famosos para aprender ataques.
  • CryptoHack — gamified.
  • PicoCTF, HackTheBox, Tryhackme — crypto categories.
  • Black Hat / DEF CON / RWC talks.
  • ChipWhisperer (NewAE) — physical SCA lab.

19. Recomendações de hardening 2026

Para implementadores:

  1. Use TLS 1.3 only; never legacy.
  2. Use AEAD; never CBC sem MAC.
  3. Constant-time everything que toca segredo.
  4. Random via OS API; never custom PRNG.
  5. RFC 6979 for ECDSA ou move para Ed25519/EdDSA.
  6. IOMMU enforce.
  7. Memory encryption (SME/TME) habilitado em BIOS.
  8. PQC hybrid em qualquer tráfego de longa retenção.
  9. Microcode updates aplicados rapidamente após disclosures.
  10. SMT desabilitado em workloads sensíveis a side-channel.

20. Referência cruzada

  • Algoritmos atacados: 04-simetrica.md, 05-assimetrica.md, 06-hash-e-mac.md.
  • Protocolos atacados: 07-protocolos.md.
  • Confidential computing como defesa: 09-confidential-computing.md.
  • Incidentes contextualizados: 13-incidentes.md.
  • Pessoas (Kocher, Bleichenbacher, Coppersmith, Wang, Stevens, Marc...): 12-pessoas.md.