CWE ID: 208
Name: Observable Timing Discrepancy
Zwei separate Operationen innerhalb eines Produkts benötigen unterschiedliche Zeitspannen, um abgeschlossen zu werden, wobei dies für einen Beobachter erkennbar ist und sicherheitsrelevante Informationen über den Zustand des Produkts preisgibt, beispielsweise ob eine bestimmte Operation erfolgreich war oder nicht.
In sicherheitsrelevanten Kontexten können selbst geringfügige Variationen in der Ausführungszeit von Angreifern ausgenutzt werden, um indirekt Details über die internen Abläufe des Produkts zu ermitteln. Beispielsweise können Angreifer in einigen kryptografischen Algorithmen Timing-Unterschiede nutzen, um Eigenschaften eines privaten Schlüssels zu erschließen und so das Schlüsselserraten zu erleichtern. Timing-Diskrepanzen bilden somit effektiv einen timing side channel.
