Tha sgioba de luchd-rannsachaidh bho Oilthigh Texas, Oilthigh Illinois, agus Oilthigh Washington air fiosrachadh fhoillseachadh mu theaghlach ùr de dh’ ionnsaighean taobh-seanail (CVE-2022-23823, CVE-2022-24436), leis an ainm Hertzbleed. Tha an dòigh ionnsaigh a thathar a ’moladh stèidhichte air feartan smachd tricead fiùghantach ann am pròiseasairean an latha an-diugh agus a’ toirt buaidh air a h-uile CPU gnàthach Intel agus AMD. Is dòcha gum bi an duilgheadas cuideachd ga nochdadh fhèin ann am pròiseasairean bho luchd-saothrachaidh eile a bheir taic do dh’ atharrachaidhean tricead fiùghantach, mar eisimpleir, ann an siostaman ARM, ach bha an sgrùdadh cuingealaichte ri bhith a’ dèanamh deuchainn air sgoltagan Intel agus AMD. Tha na teacsaichean tùsail le buileachadh an dòigh ionnsaigh air am foillseachadh air GitHub (chaidh am buileachadh a dhearbhadh air coimpiutair le Intel i7-9700 CPU).
Gus caitheamh cumhachd a bharrachadh agus casg a chuir air cus teasachadh, bidh pròiseasairean gu dinamach ag atharrachadh tricead a rèir an luchd, a dh’ adhbhraicheas atharrachaidhean ann an coileanadh agus a bheir buaidh air àm coileanadh gnìomhachd (bidh atharrachadh ann an tricead le 1 Hz a’ leantainn gu atharrachadh ann an coileanadh le cearcall cloc 1 gach an dàrna). Rè an sgrùdaidh, chaidh a lorg, fo chumhachan sònraichte air pròiseasairean AMD agus Intel, gu bheil an atharrachadh ann am tricead gu dìreach co-cheangailte ris an dàta a thathar a ’giullachd, a tha, mar eisimpleir, a’ leantainn gu bheil ùine àireamhachaidh na h-obrach “2022 + 23823” agus bidh “2022 + 24436” eadar-dhealaichte. Stèidhichte air mion-sgrùdadh air eadar-dhealachaidhean ann an ùine cur gu bàs gnìomhachd le dàta eadar-dhealaichte, tha e comasach am fiosrachadh a chaidh a chleachdadh ann an àireamhachadh a thoirt air ais gu neo-dhìreach. Aig an aon àm, ann an lìonraidhean àrd-astar le dàil leantainneach, faodar ionnsaigh a dhèanamh air astar le bhith a’ toirt tuairmse air àm cur an gnìomh iarrtasan.
Ma shoirbhicheas leis an ionnsaigh, bidh na duilgheadasan comharraichte ga dhèanamh comasach iuchraichean prìobhaideach a dhearbhadh stèidhichte air mion-sgrùdadh air an ùine àireamhachaidh ann an leabharlannan criptografach a bhios a’ cleachdadh algorithms anns am bi àireamhachadh matamataigeach an-còmhnaidh air a dhèanamh ann an ùine shìorraidh, ge bith dè an seòrsa dàta a thathar a’ giullachd. . Bhathar den bheachd gu robh na leabharlannan sin air an dìon bho ionnsaighean taobh-seanail, ach mar a thàinig e a-mach, tha an ùine àireamhachaidh air a dhearbhadh chan ann a-mhàin leis an algairim, ach cuideachd le feartan a ’phròiseasar.
Mar eisimpleir phractaigeach a’ sealltainn comasachd an dòigh a thathar a’ moladh a chleachdadh, chaidh ionnsaigh air buileachadh prìomh inneal glacaidh SIKE (Supersingular Isogeny Key Encapsulation), a chaidh a ghabhail a-steach sa chuairt dheireannaich den cho-fharpais cryptosystems post-quantum a chùm na SA. Institiud Nàiseanta Inbhean is Teicneòlais (NIST), agus tha e air a shuidheachadh mar dhìon bho ionnsaighean seanail taobh. Rè an deuchainn, le bhith a’ cleachdadh tionndadh ùr den ionnsaigh stèidhichte air ciphertext taghte (taghadh mean air mhean stèidhichte air a bhith a’ làimhseachadh a’ chiphertext agus a’ faighinn a dhì-chrioptachaidh), bha e comasach faighinn air ais gu tur an iuchair a chaidh a chleachdadh airson crioptachadh le bhith a’ toirt tomhais bho shiostam iomallach, a dh’ aindeoin cleachdadh buileachadh SIKE le ùine àireamhachaidh seasmhach. Thug a bhith a 'dearbhadh iuchair 364-bit a' cleachdadh buileachadh CIRCL 36 uairean, agus thug PQCrypto-SIDH 89 uairean.
Tha Intel agus AMD air aideachadh cho cugallach ‘s a tha an luchd-giullachd don duilgheadas, ach chan eil iad an dùil casg a chuir air so-leòntachd tro ùrachadh microcode, leis nach bi e comasach cuir às don so-leòntachd ann am bathar-cruaidh gun buaidh mhòr air coileanadh bathar-cruaidh. An àite sin, gheibh luchd-leasachaidh leabharlannan criptografach molaidhean air mar as urrainn dhaibh casg a chuir air aodion fiosrachaidh nuair a bhios iad a’ dèanamh àireamhachadh dìomhair. Tha Cloudflare agus Microsoft mu thràth air dìon coltach ris a chuir ris na gnìomhan SIKE aca, a tha air leantainn gu buille coileanaidh 5% airson CIRCL agus buille coileanaidh 11% airson PQCrypto-SIDH. Is e dòigh-obrach eile airson casg a chuir air so-leòntachd modhan Turbo Boost, Turbo Core, no Precision Boost a chuir dheth anns a’ BIOS no an draibhear, ach thig an t-atharrachadh seo gu lùghdachadh mòr ann an coileanadh.
Chaidh fios a chuir gu Intel, Cloudflare agus Microsoft mun chùis anns an treas ràithe de 2021, agus AMD anns a ’chiad ràithe de 2022, ach chaidh dàil a chuir air foillseachadh poblach mun chùis gu 14 Ògmhios, 2022 air iarrtas Intel. Chaidh làthaireachd na trioblaid a dhearbhadh ann am pròiseasairean deasg is laptop stèidhichte air ginealaichean 8-11 de Intel Core microarchitecture, a bharrachd air grunn phròiseasan deasg, gluasadach agus frithealaiche AMD Ryzen, Athlon, A-Series agus EPYC (thaisbean luchd-rannsachaidh an dòigh air Ryzen CPUs le Zen microarchitecture 2 agus Zen 3).
Source: fosgailtenet.ru