Ein Forscherteam der University of Texas, der University of Illinois und der University of Washington hat Informationen über eine neue Familie von Seitenkanalangriffen (CVE-2022-23823, CVE-2022-24436) mit dem Codenamen Hertzbleed veröffentlicht. Die vorgeschlagene Angriffsmethode basiert auf den Merkmalen der dynamischen Frequenzsteuerung moderner Prozessoren und betrifft alle aktuellen Intel- und AMD-CPUs. Möglicherweise tritt das Problem auch bei Prozessoren anderer Hersteller auf, die dynamische Frequenzänderungen unterstützen, beispielsweise in ARM-Systemen. Die Studie beschränkte sich jedoch auf den Test von Intel- und AMD-Chips. Die Quelltexte mit der Umsetzung der Angriffsmethode sind auf GitHub veröffentlicht (die Umsetzung wurde auf einem Rechner mit Intel i7-9700 CPU getestet).
Um den Stromverbrauch zu optimieren und eine Überhitzung zu verhindern, ändern Prozessoren die Frequenz je nach Last dynamisch, was zu Leistungsänderungen führt und sich auf die Ausführungszeit von Vorgängen auswirkt (eine Frequenzänderung um 1 Hz führt zu einer Leistungsänderung um 1 Taktzyklus pro zweite). Im Rahmen der Studie wurde festgestellt, dass unter bestimmten Bedingungen auf AMD- und Intel-Prozessoren die Frequenzänderung direkt mit den verarbeiteten Daten korreliert, was beispielsweise dazu führt, dass die Berechnungszeit der Operationen „2022 + 23823“ und „2022 + 24436“ wird anders sein. Basierend auf der Analyse der Unterschiede in der Ausführungszeit von Operationen mit unterschiedlichen Daten ist es möglich, die in den Berechnungen verwendeten Informationen indirekt wiederherzustellen. Gleichzeitig kann in Hochgeschwindigkeitsnetzwerken mit vorhersehbaren konstanten Verzögerungen ein Angriff aus der Ferne durchgeführt werden, indem die Ausführungszeit von Anforderungen geschätzt wird.
Wenn der Angriff erfolgreich ist, ermöglichen die identifizierten Probleme die Ermittlung privater Schlüssel auf Basis einer Analyse der Rechenzeit in kryptografischen Bibliotheken, die Algorithmen verwenden, bei denen mathematische Berechnungen immer in konstanter Zeit durchgeführt werden, unabhängig von der Art der verarbeiteten Daten . Solche Bibliotheken galten als vor Seitenkanalangriffen geschützt, doch wie sich herausstellte, wird die Berechnungszeit nicht nur vom Algorithmus, sondern auch von den Eigenschaften des Prozessors bestimmt.
Als praktisches Beispiel, das die Machbarkeit der Verwendung der vorgeschlagenen Methode zeigt, wurde ein Angriff auf die Implementierung des Schlüsselkapselungsmechanismus SIKE (Supersingular Isogeny Key Encapsulation) demonstriert, der in das Finale des von den USA veranstalteten Wettbewerbs für Post-Quanten-Kryptosysteme aufgenommen wurde National Institute of Standards and Technology (NIST) und gilt als vor Seitenkanalangriffen geschützt. Während des Experiments war es mithilfe einer neuen Variante des Angriffs basierend auf ausgewähltem Chiffretext (schrittweise Auswahl basierend auf der Manipulation des Chiffretexts und der Erlangung seiner Entschlüsselung) trotz Messungen von einem entfernten System aus möglich, den für die Verschlüsselung verwendeten Schlüssel vollständig wiederherzustellen die Verwendung einer SIKE-Implementierung mit konstanter Rechenzeit. Die Ermittlung eines 364-Bit-Schlüssels mithilfe der CIRCL-Implementierung dauerte 36 Stunden und PQCrypto-SIDH benötigte 89 Stunden.
Intel und AMD haben die Anfälligkeit ihrer Prozessoren für das Problem erkannt, planen jedoch nicht, die Schwachstelle durch ein Mikrocode-Update zu schließen, da es nicht möglich sein wird, die Schwachstelle in der Hardware zu beseitigen, ohne die Hardwareleistung erheblich zu beeinträchtigen. Stattdessen erhalten Entwickler kryptografischer Bibliotheken Empfehlungen, wie sie Informationslecks bei der Durchführung vertraulicher Berechnungen programmgesteuert blockieren können. Cloudflare und Microsoft haben ihren SIKE-Implementierungen bereits einen ähnlichen Schutz hinzugefügt, was zu einem Leistungseinbruch von 5 % für CIRCL und einem Leistungseinbruch von 11 % für PQCrypto-SIDH geführt hat. Eine weitere Problemumgehung zum Blockieren der Schwachstelle besteht darin, die Modi Turbo Boost, Turbo Core oder Precision Boost im BIOS oder Treiber zu deaktivieren. Diese Änderung führt jedoch zu einem drastischen Leistungsabfall.
Intel, Cloudflare und Microsoft wurden im dritten Quartal 2021 über das Problem informiert, AMD im ersten Quartal 2022, die öffentliche Offenlegung des Problems wurde jedoch auf Wunsch von Intel bis zum 14. Juni 2022 verschoben. Das Vorhandensein des Problems wurde bei Desktop- und Laptop-Prozessoren bestätigt, die auf der 8. bis 11. Generation der Intel Core-Mikroarchitektur basieren, sowie bei verschiedenen Desktop-, Mobil- und Serverprozessoren AMD Ryzen, Athlon, A-Serie und EPYC (Forscher demonstrierten die Methode). auf Ryzen-CPUs mit Zen-Mikroarchitektur 2 und Zen 3).
Source: opennet.ru