'n Span navorsers van die Universiteit van Texas, Universiteit van Illinois en Universiteit van Washington het inligting bekend gemaak oor 'n nuwe familie van sykanaalaanvalle (CVE-2022-23823, CVE-2022-24436), met die kodenaam Hertzbleed. Die voorgestelde aanvalmetode is gebaseer op die kenmerke van dinamiese frekwensiebeheer in moderne verwerkers en raak alle huidige Intel- en AMD-SVE's. Die probleem kan moontlik ook manifesteer in verwerkers van ander vervaardigers wat dinamiese frekwensieveranderinge ondersteun, byvoorbeeld in ARM-stelsels, maar die studie was beperk tot die toets van Intel- en AMD-skyfies. Die brontekste met die implementering van die aanvalmetode word op GitHub gepubliseer (die implementering is op 'n rekenaar met 'n Intel i7-9700-SVE getoets).
Om kragverbruik te optimaliseer en oorverhitting te voorkom, verander verwerkers die frekwensie dinamies na gelang van die las, wat lei tot veranderinge in werkverrigting en die uitvoeringstyd van bedrywighede beïnvloed ('n verandering in frekwensie met 1 Hz lei tot 'n verandering in werkverrigting met 1 kloksiklus per tweede). Tydens die studie is gevind dat onder sekere toestande op AMD- en Intel-verwerkers die verandering in frekwensie direk korreleer met die data wat verwerk word, wat byvoorbeeld lei tot die feit dat die berekeningstyd van die bedrywighede "2022 + 23823" en "2022 + 24436" sal anders wees. Gebaseer op die ontleding van verskille in die uitvoeringstyd van bedrywighede met verskillende data, is dit moontlik om die inligting wat in berekeninge gebruik word, indirek te herstel. Terselfdertyd, in hoëspoednetwerke met voorspelbare konstante vertragings, kan 'n aanval op afstand uitgevoer word deur die uitvoeringstyd van versoeke te skat.
As die aanval suksesvol is, maak die geïdentifiseerde probleme dit moontlik om private sleutels te bepaal gebaseer op 'n ontleding van die berekeningstyd in kriptografiese biblioteke wat algoritmes gebruik waarin wiskundige berekeninge altyd in konstante tyd uitgevoer word, ongeag die aard van die data wat verwerk word. . Sulke biblioteke is beskou as beskerm teen sykanaalaanvalle, maar soos dit geblyk het, word die berekeningstyd nie net deur die algoritme bepaal nie, maar ook deur die eienskappe van die verwerker.
As 'n praktiese voorbeeld wat die uitvoerbaarheid van die gebruik van die voorgestelde metode toon, is 'n aanval op die implementering van die SIKE (Supersingular Isogeny Key Encapsulation) sleutel-inkapselingsmeganisme gedemonstreer, wat ingesluit is in die finaal van die post-kwantum kriptostelselkompetisie wat deur die VSA gehou is. Nasionale Instituut vir Standaarde en Tegnologie (NIST), en is geposisioneer as beskerm teen sykanaalaanvalle. Tydens die eksperiment, met behulp van 'n nuwe variant van die aanval gebaseer op geselekteerde syferteks (geleidelike seleksie gebaseer op manipulasie van die syferteks en die verkryging van die dekripsie daarvan), was dit moontlik om die sleutel wat vir enkripsie gebruik is, heeltemal te herstel deur metings van 'n afgeleë stelsel te neem, ten spyte van die gebruik van 'n SIKE-implementering met konstante berekeningstyd. Die bepaling van 'n 364-bis-sleutel met behulp van die CIRCL-implementering het 36 uur geneem, en PQCrypto-SIDH het 89 uur geneem.
Intel en AMD het die kwesbaarheid van hul verwerkers vir die probleem erken, maar beplan nie om die kwesbaarheid deur 'n mikrokode-opdatering te blokkeer nie, aangesien dit nie moontlik sal wees om die kwesbaarheid in hardeware uit te skakel sonder 'n beduidende impak op hardeware-werkverrigting nie. In plaas daarvan word ontwikkelaars van kriptografiese biblioteke aanbevelings gegee oor hoe om inligtinglekkasie programmaties te blokkeer wanneer vertroulike berekeninge uitgevoer word. Cloudflare en Microsoft het reeds soortgelyke beskerming by hul SIKE-implementerings gevoeg, wat gelei het tot 'n prestasietreffer van 5% vir CIRCL en 'n prestasietreffer van 11% vir PQCrypto-SIDH. Nog 'n oplossing om die kwesbaarheid te blokkeer, is om Turbo Boost-, Turbo Core- of Precision Boost-modusse in die BIOS of bestuurder te deaktiveer, maar hierdie verandering sal 'n drastiese afname in werkverrigting tot gevolg hê.
Intel, Cloudflare en Microsoft is in die derde kwartaal van 2021 van die kwessie in kennis gestel, en AMD in die eerste kwartaal van 2022, maar die openbare bekendmaking van die kwessie is op Intel se versoek tot 14 Junie 2022 uitgestel. Die teenwoordigheid van die probleem is bevestig in rekenaar- en skootrekenaarverwerkers gebaseer op 8-11 generasies Intel Core-mikroargitektuur, sowel as vir verskeie rekenaar-, mobiele- en bedienerverwerkers AMD Ryzen, Athlon, A-Series en EPYC (navorsers het die metode gedemonstreer op Ryzen SVE's met Zen mikroargitektuur 2 en Zen 3).
Bron: opennet.ru