Texasin yliopiston, Illinoisin yliopiston ja Washingtonin yliopiston tutkijaryhmä on paljastanut tietoja uudesta sivukanavahyökkäysten perheestä (CVE-2022-23823, CVE-2022-24436), koodinimeltään Hertzbleed. Ehdotettu hyökkäysmenetelmä perustuu nykyaikaisten prosessorien dynaamisen taajuuden ohjauksen ominaisuuksiin ja vaikuttaa kaikkiin nykyisiin Intel- ja AMD-suorittimiin. Mahdollisesti ongelma voi ilmetä myös muiden valmistajien dynaamisia taajuudenmuutoksia tukevissa prosessoreissa, esimerkiksi ARM-järjestelmissä, mutta tutkimus rajoittui Intel- ja AMD-sirujen testaamiseen. Hyökkäysmenetelmän toteutuksen lähdetekstit on julkaistu GitHubissa (toteutus testattiin tietokoneella Intel i7-9700 CPU:lla).
Tehonkulutuksen optimoimiseksi ja ylikuumenemisen estämiseksi prosessorit muuttavat dynaamisesti taajuutta kuormituksen mukaan, mikä johtaa suorituskyvyn muutoksiin ja vaikuttaa toimintojen suoritusaikaan (1 Hz taajuuden muutos johtaa suorituskyvyn muutokseen 1 kellojaksolla per toinen). Tutkimuksen aikana havaittiin, että tietyissä olosuhteissa AMD- ja Intel-prosessoreissa taajuuden muutos korreloi suoraan käsiteltävän tiedon kanssa, mikä johtaa esimerkiksi siihen, että toimintojen laskenta-aika "2022 + 23823" ja "2022 + 24436" ovat erilaisia. Eri datalla suoritettavien operaatioiden suoritusaikojen erojen analysoinnin perusteella voidaan epäsuorasti palauttaa laskelmissa käytetyt tiedot. Samaan aikaan nopeissa verkoissa, joissa on ennustettavissa olevat jatkuvat viiveet, hyökkäys voidaan suorittaa etänä arvioimalla pyyntöjen suoritusaika.
Jos hyökkäys onnistuu, tunnistetut ongelmat mahdollistavat yksityisten avainten määrittämisen laskenta-ajan analyysin perusteella kryptografisissa kirjastoissa, jotka käyttävät algoritmeja, joissa matemaattiset laskelmat suoritetaan aina vakioajassa, riippumatta käsiteltävän tiedon luonteesta. . Tällaisia kirjastoja pidettiin suojattuina sivukanavahyökkäyksiltä, mutta kuten kävi ilmi, laskentaaika ei määräydy vain algoritmin, vaan myös prosessorin ominaisuuksien perusteella.
Käytännön esimerkkinä ehdotetun menetelmän käyttökelpoisuudesta esitettiin hyökkäys SIKE (Supersingular Isogeny Key Encapsulation) -avaimen kapselointimekanismin toteutusta vastaan, joka sisältyi Yhdysvaltain järjestämän post-quantum cryptosystems -kilpailun finaaliin. National Institute of Standards and Technology (NIST), ja se on suojattu sivukanavahyökkäyksiltä. Kokeen aikana hyökkäyksen uudella variantilla, joka perustuu valittuun salatekstiin (asteittainen valinta salatekstin manipuloinnin ja sen salauksen purkamisen perusteella), oli mahdollista saada salaukseen käytetty avain kokonaan takaisin tekemällä mittauksia etäjärjestelmästä huolimatta. SIKE-toteutuksen käyttö vakiolla laskenta-ajalla. 364-bittisen avaimen määrittäminen CIRCL-toteutuksen avulla kesti 36 tuntia ja PQCrypto-SIDH 89 tuntia.
Intel ja AMD ovat tunnustaneet prosessoriensa haavoittuvuuden ongelmalle, mutta eivät aio estää haavoittuvuutta mikrokoodipäivityksellä, koska laitteiston haavoittuvuutta ei voida poistaa ilman merkittävää vaikutusta laitteiston suorituskykyyn. Sen sijaan kryptografisten kirjastojen kehittäjille annetaan suosituksia siitä, miten tietovuodot voidaan estää ohjelmallisesti luottamuksellisia laskelmia suoritettaessa. Cloudflare ja Microsoft ovat jo lisänneet samanlaisen suojan SIKE-toteutuksiinsa, mikä on johtanut 5 %:n suorituskykyosumaan CIRCL:lle ja 11 %:n suorituskykyosumalle PQCrypto-SIDH:lle. Toinen ratkaisu haavoittuvuuden estämiseen on poistaa Turbo Boost-, Turbo Core- tai Precision Boost -tilat käytöstä BIOSissa tai ohjaimessa, mutta tämä muutos johtaa jyrkkään suorituskyvyn heikkenemiseen.
Intelille, Cloudflarelle ja Microsoftille ilmoitettiin ongelmasta vuoden 2021 kolmannella neljänneksellä ja AMD:lle vuoden 2022 ensimmäisellä neljänneksellä, mutta ongelman julkistamista lykättiin Intelin pyynnöstä 14 asti. Ongelman olemassaolo on vahvistettu pöytäkoneiden ja kannettavien prosessoreissa, jotka perustuvat 2022-8 sukupolveen Intel Core -mikroarkkitehtuuriin, sekä erilaisissa työpöytä-, mobiili- ja palvelinprosessoreissa AMD Ryzen, Athlon, A-Series ja EPYC (tutkijat esittivät menetelmän Ryzen-suorittimissa, joissa on Zen microarchitecture 11 ja Zen 2).
Lähde: opennet.ru