Et team af forskere fra University of Texas, University of Illinois og University of Washington har afsløret oplysninger om en ny familie af sidekanalangreb (CVE-2022-23823, CVE-2022-24436), kodenavnet Hertzbleed. Den foreslåede angrebsmetode er baseret på funktionerne i dynamisk frekvenskontrol i moderne processorer og påvirker alle nuværende Intel- og AMD-CPU'er. Potentielt kan problemet også vise sig i processorer fra andre producenter, der understøtter dynamiske frekvensændringer, for eksempel i ARM-systemer, men undersøgelsen var begrænset til at teste Intel- og AMD-chips. Kildeteksterne med implementeringen af angrebsmetoden udgives på GitHub (implementeringen blev testet på en computer med en Intel i7-9700 CPU).
For at optimere strømforbruget og forhindre overophedning ændrer processorer dynamisk frekvensen afhængigt af belastningen, hvilket fører til ændringer i ydeevnen og påvirker udførelsestiden for operationer (en ændring i frekvensen på 1 Hz fører til en ændring i ydeevnen med 1 klokcyklus pr. anden). Under undersøgelsen viste det sig, at under visse forhold på AMD- og Intel-processorer, korrelerer ændringen i frekvens direkte med de data, der behandles, hvilket for eksempel fører til, at beregningstiden for operationerne "2022 + 23823" og "2022 + 24436" vil være anderledes. Baseret på analysen af forskelle i udførelsestiden for operationer med forskellige data, er det muligt indirekte at gendanne de oplysninger, der er brugt i beregninger. Samtidig kan et angreb i højhastighedsnetværk med forudsigelige konstante forsinkelser udføres eksternt ved at estimere eksekveringstiden for anmodninger.
Hvis angrebet lykkes, gør de identificerede problemer det muligt at bestemme private nøgler baseret på en analyse af beregningstiden i kryptografiske biblioteker, der anvender algoritmer, hvor matematiske beregninger altid udføres i konstant tid, uanset arten af de data, der behandles . Sådanne biblioteker blev betragtet som beskyttet mod sidekanalangreb, men som det viste sig, bestemmes beregningstiden ikke kun af algoritmen, men også af processorens egenskaber.
Som et praktisk eksempel, der viser gennemførligheden af at bruge den foreslåede metode, blev der demonstreret et angreb på implementeringen af SIKE (Supersingular Isogeny Key Encapsulation) nøgleindkapslingsmekanismen, som blev inkluderet i finalen i post-kvantekryptosystemer konkurrencen afholdt af USA National Institute of Standards and Technology (NIST), og er placeret som beskyttet mod sidekanalangreb. Under eksperimentet var det, ved at bruge en ny variant af angrebet baseret på udvalgt chiffertekst (gradvis udvælgelse baseret på manipulation af chifferteksten og opnåelse af dens dekryptering), muligt fuldstændigt at gendanne nøglen brugt til kryptering ved at tage målinger fra et fjernsystem, på trods af brugen af en SIKE-implementering med konstant beregningstid. Det tog 364 timer at bestemme en 36-bit nøgle ved hjælp af CIRCL-implementeringen, og PQCrypto-SIDH tog 89 timer.
Intel og AMD har erkendt deres processorers sårbarhed over for problemet, men planlægger ikke at blokere sårbarheden gennem en mikrokodeopdatering, da det ikke vil være muligt at eliminere sårbarheden i hardware uden en væsentlig indvirkning på hardwarens ydeevne. I stedet får udviklere af kryptografiske biblioteker anbefalinger til, hvordan man programmæssigt blokerer informationslækage, når de udfører fortrolige beregninger. Cloudflare og Microsoft har allerede tilføjet lignende beskyttelse til deres SIKE-implementeringer, hvilket har resulteret i et præstationshit på 5 % for CIRCL og et præstationshit på 11 % for PQCrypto-SIDH. En anden løsning til at blokere sårbarheden er at deaktivere Turbo Boost-, Turbo Core- eller Precision Boost-tilstande i BIOS eller driver, men denne ændring vil resultere i et drastisk fald i ydeevnen.
Intel, Cloudflare og Microsoft blev underrettet om problemet i tredje kvartal af 2021 og AMD i første kvartal af 2022, men offentliggørelsen af problemet blev forsinket til den 14. juni 2022 på Intels anmodning. Tilstedeværelsen af problemet er blevet bekræftet i desktop- og bærbare processorer baseret på 8-11 generationer af Intel Core-mikroarkitektur, såvel som for forskellige desktop-, mobil- og serverprocessorer AMD Ryzen, Athlon, A-Series og EPYC (forskere demonstrerede metoden på Ryzen CPU'er med Zen microarchitecture 2 og Zen 3).
Kilde: opennet.ru