Група даследнікаў з Тэхаскага, Ілінойскага і Вашынгтонскага ўніверсітэтаў расчынілі звесткі аб новым сямействе нападаў па іншых каналах (CVE-2022-23823, CVE-2022-24436), якія атрымалі кодавае імя Hertzbleed. Прапанаваны метад нападу заснаваны на асаблівасцях дынамічнага кіравання частатой у сучасных працэсарах і закранае ўсе актуальныя CPU Intel і AMD. Патэнцыйна праблема можа выяўляцца і ў працэсарах іншых вытворцаў, якія падтрымліваюць дынамічную змену частаты, напрыклад у ARM-сістэмах, але праведзенае даследаванне абмежавалася праверкай чыпаў Intel і AMD. Зыходныя тэксты з рэалізацыяй метаду нападу апублікаваны на GitHub (рэалізацыя пратэставаная на кампутары з CPU Intel i7-9700).
Для аптымізацыі энергаспажывання і прадухіленні перагрэву працэсары дынамічна змяняюць частату ў залежнасці ад нагрузкі, што прыводзіць да змены прадукцыйнасці і ўплывае на час выканання аперацый (змена частаты на 1 Hz прыводзіць да змены прадукцыйнасці на 1 такт у секунду). У ходзе праведзенага даследавання было высветлена, што пры пэўных умовах на працэсарах AMD і Intel змяненне частаты напрамую карэлюе з апрацоўванымі дадзенымі, што, напрыклад, прыводзіць да таго, што час вылічэння аперацый "2022 + 23823" і "2022 + 24436" будзе адрознівацца. На падставе аналізу адрозненняў часу выканання аперацый з рознымі дадзенымі можна ўскосна аднавіць інфармацыю, якая выкарыстоўваецца пры вылічэннях. Пры гэтым у высакахуткасных сетках з прадказальнымі сталымі затрымкамі напад можна правесці выдалена, ацэньваючы час выканання запытаў.
Пры паспяховым правядзенні нападу выяўленыя праблемы дазваляюць вызначаць зачыненыя ключы на аснове аналізу часу вылічэнняў у крыптаграфічных бібліятэках, выкарыстоўвалых алгарытмы, матэматычныя вылічэнні ў якіх заўсёды выконваюцца за сталы час, не залежна ад характару апрацоўваных дадзеных. Падобныя бібліятэкі лічыліся абароненымі ад нападаў па іншых каналах, але як аказалася, час вылічэння вызначаецца не толькі алгарытмам, але і асаблівасцямі працы працэсара.
У якасці практычнага прыкладу, які паказвае рэалістычнасць прымянення прапанаванага метаду, прадэманстравана атака на рэалізацыю механізму інкапсуляцыі ключоў SIKE (Supersingular Isogeny Key Encapsulation), які ўвайшоў у фінал конкурсу постквантавых крыптасістэм, які праводзіцца Нацыянальным інстытутам стандартаў і тэхналогій ЗША. нападаў па іншых каналах. Падчас эксперыменту пры дапамозе новага варыянту нападу на аснове падабранага шыфратэксту (паступовы падбор на аснове маніпуляцый з зашыфраваным тэкстам і атрыманні яго расшыфроўкі) атрымалася цалкам аднавіць выкарыстоўваны для шыфравання ключ, праводзячы вымярэнні з выдаленай сістэмы, нягледзячы на ўжыванне рэалізацыі SIKE са сталым часам вылічэнняў. На вызначэнне 364-разраднага ключа пры выкарыстанні рэалізацыі CIRCL было выдаткавана 36 гадзін, а PQCrypto-SIDH – 89 гадзін.
Кампаніі Intel і AMD прызналі схільнасць сваіх працэсараў праблеме, але не плануюць блакаваць уразлівасць праз абнаўленне мікракода, бо без істотнага ўплыву на прадукцыйнасць апаратна ўхіліць уразлівасць не атрымаецца. Замест гэтага распрацоўшчыкам крыптаграфічных бібліятэк дадзены рэкамендацыі па праграмным блакаванні ўцечкі інфармацыі пры выкананні канфідэнцыйных вылічэнняў. Кампаніі Cloudflare і Microsoft ужо дадалі падобную абарону ў свае рэалізацыі SIKE, што прывяло да зніжэння прадукцыйнасці CIRCL на 5%, а PQCrypto-SIDH на 11%. У якасці іншага абыходнага шляху блакавання ўразлівасці ў BIOS ці ў драйверы можна адключыць рэжымы "Turbo Boost", "Turbo Core" ці "Precision Boost", але дадзеная змена прывядзе да кардынальнага зніжэння прадукцыйнасці.
Кампаніі Intel, Cloudflare і Microsoft былі апавешчаныя аб праблеме ў трэцім квартале 2021 гады, а кампанія AMD у першым квартале 2022 гады, але па просьбе Intel публічнае расчыненне звестак аб праблеме было адкладзена да 14 чэрвеня 2022 гады. Наяўнасць праблемы пацверджана ў працэсарах для настольных сістэм і наўтбукаў на базе 8-11 пакаленняў мікраархітэктуры Intel Core, а таксама для розных настольных, мабільных і серверных працэсараў AMD Ryzen, Athlon, A-Series і EPYC (даследчыкі прадэманстравалі метад на CPU Ryzen з мікраархітэктурай Zen 2 і Zen 3).
Крыніца: opennet.ru