Un equip d'investigadors de la Universitat de Texas, la Universitat d'Illinois i la Universitat de Washington ha revelat informació sobre una nova família d'atacs de canal lateral (CVE-2022-23823, CVE-2022-24436), amb el nom en clau Hertzbleed. El mètode d'atac proposat es basa en les característiques del control de freqüència dinàmic dels processadors moderns i afecta totes les CPU actuals d'Intel i AMD. Potencialment, el problema també es pot manifestar en processadors d'altres fabricants que admeten canvis de freqüència dinàmics, per exemple, en sistemes ARM, però l'estudi es va limitar a provar xips Intel i AMD. Els textos font amb la implementació del mètode d'atac es publiquen a GitHub (la implementació es va provar en un ordinador amb una CPU Intel i7-9700).
Per optimitzar el consum d'energia i evitar el sobreescalfament, els processadors canvien dinàmicament la freqüència en funció de la càrrega, la qual cosa comporta canvis en el rendiment i afecta el temps d'execució de les operacions (un canvi de freqüència d'1 Hz comporta un canvi de rendiment d'1 cicle de rellotge per cada segon). Durant l'estudi, es va trobar que en determinades condicions en els processadors AMD i Intel, el canvi de freqüència es correlaciona directament amb les dades que s'estan processant, cosa que, per exemple, porta al fet que el temps de càlcul de les operacions "2022 + 23823" i "2022 + 24436" serà diferent. A partir de l'anàlisi de les diferències en el temps d'execució d'operacions amb diferents dades, és possible restaurar indirectament la informació utilitzada en els càlculs. Al mateix temps, en xarxes d'alta velocitat amb retards constants previsibles, es pot dur a terme un atac de forma remota estimant el temps d'execució de les peticions.
Si l'atac té èxit, els problemes identificats permeten determinar claus privades a partir d'una anàlisi del temps de còmput en biblioteques criptogràfiques que utilitzen algorismes en els quals els càlculs matemàtics es realitzen sempre en temps constant, independentment de la naturalesa de les dades que es processen. . Aquestes biblioteques es consideraven protegides dels atacs de canals laterals, però, segons va resultar, el temps de càlcul no només està determinat per l'algorisme, sinó també per les característiques del processador.
Com a exemple pràctic que mostra la viabilitat d'utilitzar el mètode proposat, es va demostrar un atac a la implementació del mecanisme d'encapsulació de claus SIKE (Supersingular Isogeny Key Encapsulation), que es va incloure a la final del concurs de criptosistemes postquàntics organitzat pels EUA. National Institute of Standards and Technology (NIST) i està situat com a protegit dels atacs de canals laterals. Durant l'experiment, utilitzant una nova variant de l'atac basat en el text xifrat seleccionat (selecció gradual basada en la manipulació del text xifrat i l'obtenció del seu desxifrat), es va poder recuperar completament la clau utilitzada per al xifrat prenent mesures des d'un sistema remot, malgrat l'ús d'una implementació SIKE amb temps de càlcul constant. La determinació d'una clau de 364 bits mitjançant la implementació CIRCL va trigar 36 hores i PQCrypto-SIDH va trigar 89 hores.
Intel i AMD han reconegut la vulnerabilitat dels seus processadors al problema, però no tenen previst bloquejar la vulnerabilitat mitjançant una actualització de microcodi, ja que no serà possible eliminar la vulnerabilitat del maquinari sense un impacte significatiu en el rendiment del maquinari. En lloc d'això, els desenvolupadors de biblioteques criptogràfiques reben recomanacions sobre com bloquejar programadament la filtració d'informació quan es realitzen càlculs confidencials. Cloudflare i Microsoft ja han afegit una protecció similar a les seves implementacions SIKE, la qual cosa ha donat com a resultat un èxit de rendiment del 5% per a CIRCL i un èxit de rendiment de l'11% per a PQCrypto-SIDH. Una altra solució per bloquejar la vulnerabilitat és desactivar els modes Turbo Boost, Turbo Core o Precision Boost a la BIOS o al controlador, però aquest canvi provocarà una disminució dràstica del rendiment.
Intel, Cloudflare i Microsoft van rebre una notificació del problema el tercer trimestre del 2021 i AMD el primer trimestre del 2022, però la divulgació pública del problema es va retardar fins al 14 de juny de 2022 a petició d'Intel. La presència del problema s'ha confirmat en processadors d'escriptori i portàtils basats en 8-11 generacions de microarquitectura Intel Core, així com per a diversos processadors d'escriptori, mòbils i servidors AMD Ryzen, Athlon, A-Series i EPYC (els investigadors van demostrar el mètode en CPU Ryzen amb microarquitectura Zen 2 i Zen 3).
Font: opennet.ru