Ein Forscherteam des Worcester Polytechnic Institute, der Universität zu Lübeck und der University of California, San Diego eine Side-Channel-Angriffsmethode, die die Wiederherstellung des Werts privater Schlüssel ermöglicht, die im TPM (Trusted Platform Module) gespeichert sind. Der Angriff erhielt einen Codenamen und beeinflusst fTPM ( basierend auf Firmware, die auf einem separaten Mikroprozessor innerhalb der CPU läuft) von Intel (CVE-2019-11090) und Hardware-TPM auf STMicroelectronics-Chips (CVE-2019-16863).
Forscher Der Prototyp des Angriffs-Toolkits demonstrierte die Fähigkeit, einen 256-Bit-Privatschlüssel wiederherzustellen, der zur Generierung digitaler Signaturen mit den elliptischen Kurvenalgorithmen ECDSA und EC-Schnorr verwendet wurde. Je nach Zugriffsrechten dauert ein Angriff auf Intel fTPM-Systeme 4–20 Minuten und erfordert die Analyse von 1–15 Operationen. Ein Angriff auf Systeme mit ST33-Chip dauert etwa 80 Minuten und erfordert die Analyse von etwa 40 Operationen zur Generierung digitaler Signaturen.
Die Forscher demonstrierten außerdem die Möglichkeit, einen Remote-Angriff auf Hochgeschwindigkeitsnetzwerke durchzuführen. Dabei konnte ein privater Schlüssel in einem 1-GB-LAN in einer Laborumgebung innerhalb von fünf Stunden wiederhergestellt werden. Zuvor hatten sie die Reaktionszeit für 45 Authentifizierungssitzungen mit einem auf strongSwan basierenden VPN-Server gemessen, der seine Schlüssel in einem anfälligen TPM speichert.
Die Angriffsmethode basiert auf der Analyse von Unterschieden in der Ausführungszeit von Operationen während der Generierung digitaler Signaturen. Die Abschätzung der Verzögerung bei der Ausführung von Berechnungen ermöglicht es, Informationen über einzelne Bits während der Multiplikation mit einem Skalar bei Operationen mit einer elliptischen Kurve zu ermitteln. Für ECDSA reicht die Bestimmung weniger Bits mit Informationen über den Initialisierungsvektor (Nonce) aus, um einen Angriff auf die sequentielle Wiederherstellung des gesamten privaten Schlüssels durchzuführen. Für einen erfolgreichen Angriff ist die Analyse der Generierungszeit mehrerer tausend digitaler Signaturen erforderlich, die über dem Angreifer bekannte Daten erstellt wurden.
Sicherheitslücke von STMicroelectronics in einer neuen Version von Chips, in der die Implementierung des ECDSA-Algorithmus von Korrelationen mit der Ausführungszeit von Operationen befreit wurde. Interessanterweise werden die betroffenen Chips von STMicroelectronics auch in Geräten verwendet, die die Sicherheitsstufe Common Criteria (CC) EAL 4+ erfüllen. Die Forscher testeten auch TPM-Chips von Infineon und Nuvoton, zeigten jedoch keine Lecks aufgrund von Änderungen der Rechenzeit.
Das Problem besteht bei Intel-Prozessoren seit der Haswell-Familie, die seit 2013 auf dem Markt ist. Es wird darauf hingewiesen, dass das Problem eine breite Palette von Laptops, PCs und Servern verschiedener Hersteller betrifft, darunter Dell, Lenovo und HP.
Intel hat einen Fix in Firmware-Update, das zusätzlich zu dem betrachteten Problem Weitere 24 Schwachstellen, von denen neun als schwerwiegend und eine als kritisch eingestuft werden. Zu den genannten Problemen werden nur allgemeine Informationen bereitgestellt. So wird beispielsweise erwähnt, dass eine kritische Sicherheitslücke (CVE-2019-0169) auf die Fähigkeit zurückzuführen ist, einen Heap-Überlauf auf Seiten der Intel CSME- (Converged Security and Management Engine) und Intel TXE-Umgebungen (Trusted Execution Engine) zu verursachen, wodurch ein Angreifer seine Berechtigungen erweitern und Zugriff auf vertrauliche Daten erhalten kann.
Es kann auch vermerkt werden Prüfergebnisse verschiedener SDKs zur Entwicklung von Anwendungen, die mit Code interagieren, der auf der Seite isolierter Enklaven ausgeführt wird. Acht SDKs wurden untersucht, um problematische Funktionen zu identifizieren, die für Angriffe genutzt werden könnten: , , , ,
и für Intel SGX, für RISC-V und für Sancus TEE. Während der Prüfung wurde 35 Schwachstellen, auf deren Grundlage mehrere Angriffsszenarien entwickelt wurden, die es ermöglichen, AES-Schlüssel aus der Enklave zu extrahieren oder die Ausführung Ihres Codes zu organisieren, indem Bedingungen für die Beschädigung des Speicherinhalts geschaffen werden.
Source: opennet.ru
