Une équipe de chercheurs de l’Université du Texas, de l’Université de l’Illinois et de l’Université de Washington a divulgué des informations sur une nouvelle famille d’attaques par canal secondaire (CVE-2022-23823, CVE-2022-24436), nommée Hertzbleed. La méthode d'attaque proposée est basée sur les fonctionnalités de contrôle dynamique de fréquence des processeurs modernes et affecte tous les processeurs Intel et AMD actuels. Potentiellement, le problème peut également se manifester dans les processeurs d'autres fabricants prenant en charge les changements de fréquence dynamiques, par exemple dans les systèmes ARM, mais l'étude s'est limitée aux tests des puces Intel et AMD. Les textes sources avec l'implémentation de la méthode d'attaque sont publiés sur GitHub (l'implémentation a été testée sur un ordinateur équipé d'un processeur Intel i7-9700).
Pour optimiser la consommation d'énergie et éviter la surchauffe, les processeurs modifient dynamiquement la fréquence en fonction de la charge, ce qui entraîne des modifications des performances et affecte le temps d'exécution des opérations (un changement de fréquence de 1 Hz entraîne une modification des performances de 1 cycle d'horloge par deuxième). Au cours de l'étude, il a été constaté que dans certaines conditions sur les processeurs AMD et Intel, le changement de fréquence est directement corrélé aux données en cours de traitement, ce qui conduit par exemple au fait que le temps de calcul des opérations « 2022 + 23823 » et « 2022 + 24436 » seront différents. A partir de l'analyse des différences de temps d'exécution d'opérations avec des données différentes, il est possible de restituer indirectement les informations utilisées dans les calculs. Parallèlement, dans les réseaux à haut débit avec des délais constants prévisibles, une attaque peut être menée à distance en estimant le temps d'exécution des requêtes.
Si l'attaque réussit, les problèmes identifiés permettent de déterminer des clés privées à partir d'une analyse du temps de calcul dans des bibliothèques cryptographiques qui utilisent des algorithmes dans lesquels les calculs mathématiques sont toujours effectués en temps constant, quelle que soit la nature des données traitées. . De telles bibliothèques étaient considérées comme protégées des attaques par canal secondaire, mais il s'est avéré que le temps de calcul est déterminé non seulement par l'algorithme, mais également par les caractéristiques du processeur.
Comme exemple pratique montrant la faisabilité de l'utilisation de la méthode proposée, une attaque contre la mise en œuvre du mécanisme d'encapsulation de clé SIKE (Supersingular Isogeny Key Encapsulation) a été démontrée, qui a été incluse dans la finale du concours de cryptosystèmes post-quantiques organisé par les États-Unis. National Institute of Standards and Technology (NIST), et se positionne comme protégé contre les attaques par canal secondaire. Au cours de l'expérimentation, grâce à une nouvelle variante de l'attaque basée sur le texte chiffré sélectionné (sélection progressive basée sur la manipulation du texte chiffré et l'obtention de son déchiffrement), il a été possible de récupérer complètement la clé utilisée pour le chiffrement en effectuant des mesures depuis un système distant, malgré l'utilisation d'une implémentation SIKE à temps de calcul constant. La détermination d'une clé de 364 bits à l'aide de l'implémentation CIRCL a pris 36 heures et celle de PQCrypto-SIDH, 89 heures.
Intel et AMD ont reconnu la vulnérabilité de leurs processeurs au problème, mais ne prévoient pas de bloquer la vulnérabilité via une mise à jour du microcode, car il ne sera pas possible d'éliminer la vulnérabilité matérielle sans un impact significatif sur les performances matérielles. Au lieu de cela, les développeurs de bibliothèques cryptographiques reçoivent des recommandations sur la manière de bloquer par programme les fuites d'informations lors de l'exécution de calculs confidentiels. Cloudflare et Microsoft ont déjà ajouté une protection similaire à leurs implémentations SIKE, ce qui a entraîné une baisse des performances de 5 % pour CIRCL et de 11 % pour PQCrypto-SIDH. Une autre solution de contournement pour bloquer la vulnérabilité consiste à désactiver les modes Turbo Boost, Turbo Core ou Precision Boost dans le BIOS ou le pilote, mais cette modification entraînera une diminution drastique des performances.
Intel, Cloudflare et Microsoft ont été informés du problème au troisième trimestre 2021, et AMD au premier trimestre 2022, mais la divulgation publique du problème a été retardée jusqu'au 14 juin 2022 à la demande d'Intel. La présence du problème a été confirmée dans les processeurs de bureau et d'ordinateurs portables basés sur 8 à 11 générations de microarchitecture Intel Core, ainsi que dans divers processeurs de bureau, mobiles et serveurs AMD Ryzen, Athlon, A-Series et EPYC (les chercheurs ont démontré la méthode sur les processeurs Ryzen avec microarchitecture Zen 2 et Zen 3).
Source: opennet.ru