Teamo de esploristoj de la Universitato de Teksaso, Universitato de Ilinojso kaj Universitato de Vaŝingtono malkaŝis informojn pri nova familio de flankaj atakoj (CVE-2022-23823, CVE-2022-24436), kodita Hertzbleed. La proponita atakmetodo baziĝas sur la trajtoj de dinamika frekvenca kontrolo en modernaj procesoroj kaj influas ĉiujn nunajn Intel kaj AMD-CPUojn. Eble, la problemo ankaŭ povas manifestiĝi en procesoroj de aliaj produktantoj, kiuj subtenas dinamikajn frekvencŝanĝojn, ekzemple en ARM-sistemoj, sed la studo estis limigita al testado de Intel kaj AMD-fritoj. La fontotekstoj kun la efektivigo de la atakmetodo estas publikigitaj sur GitHub (la efektivigo estis provita sur komputilo kun Intel i7-9700 CPU).
Por optimumigi elektrokonsumon kaj malhelpi trovarmiĝon, procesoroj dinamike ŝanĝas la frekvencon depende de la ŝarĝo, kio kondukas al ŝanĝoj en rendimento kaj influas la ekzekuttempon de operacioj (ŝanĝo en frekvenco je 1 Hz kondukas al ŝanĝo en rendimento je 1 horloĝa ciklo po). dua). Dum la studo, oni trovis, ke sub certaj kondiĉoj sur AMD kaj Intel-procesoroj, la ŝanĝo de frekvenco rekte korelacias kun la prilaborataj datumoj, kio, ekzemple, kondukas al la fakto, ke la kalkultempo de la operacioj "2022 + 23823" kaj "2022 + 24436" estos malsama. Surbaze de la analizo de diferencoj en la ekzekuttempo de operacioj kun malsamaj datumoj, eblas nerekte restarigi la informojn uzatajn en kalkuloj. Samtempe, en altrapidaj retoj kun antaŭvideblaj konstantaj prokrastoj, atako povas esti farita malproksime taksante la ekzekuttempon de petoj.
Se la atako estas sukcesa, la identigitaj problemoj ebligas determini privatajn ŝlosilojn surbaze de analizo de la komputada tempo en kriptografaj bibliotekoj, kiuj uzas algoritmojn, en kiuj matematikaj kalkuloj estas ĉiam faritaj en konstanta tempo, sendepende de la naturo de la prilaboritaj datumoj. . Tiaj bibliotekoj estis konsiderataj protektitaj kontraŭ flankaj atakoj, sed kiel evidentiĝis, la kalkultempo estas determinita ne nur de la algoritmo, sed ankaŭ de la karakterizaĵoj de la procesoro.
Kiel praktika ekzemplo montranta la fareblecon uzi la proponitan metodon, atako kontraŭ la efektivigo de la ŝlosila enkapsuliga mekanismo SIKE (Supersingular Isogeny Key Encapsulation) estis pruvita, kiu estis inkluzivita en la finalo de la konkurso de post-kvantuma kriptosistemo okazigita de Usono. Nacia Instituto de Normoj kaj Teknologio (NIST), kaj estas poziciigita kiel protektita kontraŭ flankkanalaj atakoj. Dum la eksperimento, uzante novan varianton de la atako bazita sur elektita ĉifrteksto (laŭgrada elekto surbaze de manipulado de la ĉifroteksto kaj akiro de ĝia malĉifrado), eblis tute reakiri la ŝlosilon uzatan por ĉifrado per mezuradoj de fora sistemo, malgraŭ la uzo de SIKE-efektivigo kun konstanta komputadtempo. Determini 364-bitan ŝlosilon uzante la CIRCL-efektivigon daŭris 36 horojn, kaj PQCrypto-SIDH daŭris 89 horojn.
Intel kaj AMD agnoskis la vundeblecon de siaj procesoroj al la problemo, sed ne planas bloki la vundeblecon per mikrokoda ĝisdatigo, ĉar ne eblos forigi la vundeblecon en aparataro sen grava efiko sur aparataro. Anstataŭe, programistoj de kriptografaj bibliotekoj ricevas rekomendojn pri kiel programe bloki informfluon dum plenumado de konfidencaj kalkuloj. Cloudflare kaj Mikrosofto jam aldonis similan protekton al siaj SIKE-efektivigoj, kio rezultigis 5%-efikecsukceson por CIRCL kaj 11-%-efikecsukceson por PQCrypto-SIDH. Alia solvo por bloki la vundeblecon estas malŝalti Turbo Boost, Turbo Core aŭ Precision Boost-reĝimojn en la BIOS aŭ ŝoforo, sed ĉi tiu ŝanĝo rezultos en drasta malkresko de rendimento.
Intel, Cloudflare kaj Microsoft estis sciigitaj pri la afero en la tria trimonato de 2021, kaj AMD en la unua trimonato de 2022, sed publika malkaŝo de la afero estis prokrastita ĝis la 14-a de junio 2022 laŭ peto de Intel. La ĉeesto de la problemo estis konfirmita en labortablaj kaj porteblaj procesoroj bazitaj sur 8-11 generacioj de Intel Core mikroarkitekturo, same kiel por diversaj labortablaj, poŝtelefonaj kaj servilaj procesoroj AMD Ryzen, Athlon, A-Series kaj EPYC (esploristoj pruvis la metodon sur Ryzen CPU-oj kun Zen mikroarkitekturo 2 kaj Zen 3).
fonto: opennet.ru