Eric Biggers, youn nan devlopè Adiantum chifreman an ak yon mentnans Linux kernel fscrypt subsystem, pwopoze yon seri plak pou bloke pwoblèm sekirite ki rive nan yon karakteristik nan processeurs Intel ki pa garanti tan egzekisyon konstan pou diferan done trete. Pwoblèm lan parèt nan processeurs Intel kòmanse ak fanmi Ice Lake. Yon pwoblèm ki sanble obsève nan processeurs ARM.
Prezans nan yon depandans nan tan an ekzekisyon nan enstriksyon sou done yo trete nan enstriksyon sa yo se konsidere pa otè a nan plak yo kòm yon vilnerabilite nan processeurs, paske konpòtman sa yo pa ka garanti sekirite nan operasyon kriptografik fèt nan sistèm nan. Anpil aplikasyon algoritm kriptografik yo fèt pou asire ke done pa afekte tan ekzekisyon enstriksyon yo, epi vyole konpòtman sa a ka mennen nan kreyasyon atak bò-chanèl ki refè done ki baze sou analiz tan pwosesis li yo.
Potansyèlman, depandans done ègzekutabl yo ka itilize tou pou lanse atak pou detèmine done nwayo ki soti nan espas itilizatè. Dapre Eric Biggers, tan ekzekisyon konstan pa bay pa default menm pou enstriksyon ki fè operasyon adisyon ak XOR, osi byen ke pou enstriksyon espesyalize AES-NI (enfòmasyon pa konfime pa tès yo, dapre lòt done, gen yon reta nan yon sèl. sik pandan miltiplikasyon vektè ak konte bit).
Pou enfim konpòtman sa a, Intel ak ARM te pwopoze nouvo drapo: PSTATE bit DIT (Data Independent Timing) pou CPU ARM ak MSR bit DOITM (Data Operand Independent Timing Mode) pou CPU Intel, retounen ansyen konpòtman an ak tan ekzekisyon konstan. Intel ak ARM rekòmande pou pèmèt pwoteksyon jan sa nesesè pou kòd kritik, men an reyalite, kalkil kritik ka rive nenpòt kote nan nwayo a ak espas itilizatè, kidonk nou ap konsidere pèmèt mòd DOITM ak DIT pou tout nwayo a tout tan.
Pou processeurs ARM, branch nwayo Linux 6.2 la te deja adopte plak ki chanje konpòtman pou nwayo a, men plak sa yo konsidere kòm ensifizan paske yo sèlman kouvri kòd nwayo a epi yo pa chanje konpòtman an pou espas itilizatè a. Pou processeurs Intel, enklizyon pwoteksyon an toujou nan etap revizyon an. Enpak patch la sou pèfòmans yo poko mezire, men dapre dokiman Intel, pèmèt mòd DOITM diminye pèfòmans (pa egzanp, lè w enfim kèk optimize, tankou prechaje done espesifik) epi nan pwochen modèl processeur rediksyon pèfòmans lan ka ogmante. .
Sous: opennet.ru