Yon ekip chèchè nan University of Texas, University of Illinois, ak University of Washington te divilge enfòmasyon sou yon nouvo fanmi nan atak bò-chanèl (CVE-2022-23823, CVE-2022-24436), kod Hertzbleed. Metòd atak yo pwopoze a baze sou karakteristik kontwòl frekans dinamik nan processeurs modèn yo epi li afekte tout CPU Intel ak AMD aktyèl yo. Potansyèlman, pwoblèm nan ka manifeste tèt li tou nan processeurs soti nan lòt manifaktirè ki sipòte chanjman frekans dinamik, pou egzanp, nan sistèm ARM, men etid la te limite a tès Intel ak AMD chips. Tèks sous yo ak aplikasyon metòd atak la pibliye sou GitHub (te aplikasyon an te teste sou yon òdinatè ak yon CPU Intel i7-9700).
Pou optimize konsomasyon pouvwa ak anpeche surchof, processeurs dinamik chanje frekans lan depann sou chaj la, ki mennen nan chanjman nan pèfòmans ak afekte tan an ekzekisyon nan operasyon (yon chanjman nan frekans pa 1 Hz mennen nan yon chanjman nan pèfòmans pa 1 sik revèy pou chak). dezyèm). Pandan etid la, li te jwenn ke nan sèten kondisyon sou AMD ak Intel processeurs, chanjman nan frekans dirèkteman gen rapò ak done yo te trete, ki, pou egzanp, mennen nan lefèt ke tan an kalkil nan operasyon yo "2022 + 23823" ak "2022 + 24436" pral diferan. Ki baze sou analiz la nan diferans ki genyen nan tan an ekzekisyon nan operasyon ak done diferan, li posib endirèkteman retabli enfòmasyon yo itilize nan kalkil. An menm tan an, nan rezo gwo vitès ak reta konstan previzib, yon atak ka fèt adistans pa estime tan an ekzekisyon demann yo.
Si atak la reyisi, pwoblèm yo idantifye yo fè li posib pou detèmine kle prive ki baze sou yon analiz de tan kalkil nan bibliyotèk kriptografik ki itilize algoritm kote kalkil matematik yo toujou fèt nan tan konstan, kèlkeswa nati done yo ap trete. . Bibliyotèk sa yo te konsidere kòm pwoteje kont atak bò-chanèl, men kòm li te tounen soti, tan an kalkil detèmine pa sèlman pa algorithm la, men tou, pa karakteristik sa yo nan processeur la.
Kòm yon egzanp pratik ki montre posiblite pou yo sèvi ak metòd yo pwopoze a, yo te demontre yon atak sou aplikasyon an nan SIKE (Supersingular Isogeny Key Encapsulation) mekanis enkapsulasyon kle, ki te enkli nan final la nan konpetisyon an kriptografik pòs-quantum ki te fèt pa Etazini. Enstiti Nasyonal pou Estanda ak Teknoloji (NIST), epi li pozisyone kòm pwoteje kont atak chanèl bò. Pandan eksperyans la, lè l sèvi avèk yon nouvo varyant nan atak la ki baze sou tèks chifreman chwazi (seleksyon gradyèl ki baze sou manipilasyon nan chifreman an ak jwenn dechifre li), li te posib konplètman refè kle yo itilize pou chifreman lè w pran mezi nan yon sistèm aleka, malgre itilizasyon yon aplikasyon SIKE ak tan kalkil konstan. Detèmine yon kle 364-bit lè l sèvi avèk aplikasyon CIRCL te pran 36 èdtan, ak PQCrypto-SIDH te pran 89 èdtan.
Intel ak AMD te rekonèt vilnerabilite nan processeurs yo nan pwoblèm nan, men yo pa planifye yo bloke vilnerabilite a atravè yon aktyalizasyon mikrokod, paske li pa pral posib elimine vilnerabilite nan pyès ki nan konpitè san yon enpak siyifikatif sou pèfòmans pyès ki nan konpitè. Olye de sa, devlopè bibliyotèk kriptografik yo bay rekòmandasyon sou fason pou yo bloke enfòmasyon flit lè yo fè kalkil konfidansyèl yo. Cloudflare ak Microsoft te deja ajoute pwoteksyon menm jan an nan aplikasyon SIKE yo, ki te lakòz yon frape pèfòmans 5% pou CIRCL ak yon frape pèfòmans 11% pou PQCrypto-SIDH. Yon lòt solisyon pou bloke vilnerabilite a se enfim mòd Turbo Boost, Turbo Core, oswa Precision Boost nan BIOS la oswa chofè a, men chanjman sa a pral lakòz yon diminisyon radikal nan pèfòmans.
Intel, Cloudflare ak Microsoft te avèti pwoblèm nan nan twazyèm trimès 2021, ak AMD nan premye sezon 2022, men divilgasyon piblik pwoblèm nan te retade jiska 14 jen 2022 sou demann Intel. Te prezans nan pwoblèm nan konfime nan Desktop ak laptop processeurs ki baze sou 8-11 jenerasyon Intel Core mikrochitekti, osi byen ke pou divès kalite Desktop, mobil ak sèvè processeurs AMD Ryzen, Athlon, A-Series ak EPYC (chèchè yo te demontre metòd la sou CPU Ryzen ak Zen mikrochitekti 2 ak Zen 3).
Sous: opennet.ru