A Texasi Egyetemen, az Illinoisi Egyetemen és a Washingtoni Egyetemen dolgozó kutatócsoport információkat hozott nyilvánosságra az oldalcsatornás támadások új családjáról (CVE-2022-23823, CVE-2022-24436), melynek kódneve Hertzbleed. A javasolt támadási módszer a modern processzorok dinamikus frekvenciavezérlésének jellemzőire épül, és az összes jelenlegi Intel és AMD CPU-t érinti. A probléma potenciálisan más gyártók dinamikus frekvenciaváltást támogató processzoraiban is megnyilvánulhat, például az ARM rendszerekben, de a vizsgálat az Intel és az AMD chipek tesztelésére korlátozódott. A támadási módszer megvalósítását tartalmazó forrásszövegeket a GitHubon teszik közzé (a megvalósítást Intel i7-9700 CPU-val rendelkező számítógépen tesztelték).
Az energiafogyasztás optimalizálása és a túlmelegedés megelőzése érdekében a processzorok dinamikusan változtatják a frekvenciát a terheléstől függően, ami a teljesítmény változásához vezet, és befolyásolja a műveletek végrehajtási idejét (1 Hz-es frekvenciaváltozás a teljesítményben 1 órajel ciklusonkénti változáshoz vezet második). A vizsgálat során kiderült, hogy bizonyos körülmények között az AMD és Intel processzorokon a frekvencia változása közvetlenül korrelál a feldolgozott adatokkal, ami például azt eredményezi, hogy a „2022 + 23823” műveletek számítási ideje és a „2022 + 24436” eltérő lesz. Az eltérő adatokkal végzett műveletek végrehajtási idejének eltéréseinek elemzése alapján lehetőség nyílik a számításoknál felhasznált információk közvetett visszaállítására. Ugyanakkor a nagysebességű hálózatokban előre látható állandó késleltetésekkel távolról is végrehajtható a támadás a kérések végrehajtási idejének becslésével.
Ha a támadás sikeres, az azonosított problémák lehetővé teszik a privát kulcsok meghatározását a számítási idő elemzése alapján olyan kriptográfiai könyvtárakban, amelyek olyan algoritmusokat használnak, amelyekben a matematikai számításokat mindig állandó időben végzik el, függetlenül a feldolgozott adatok természetétől. . Az ilyen könyvtárakat védettnek tekintették az oldalcsatornás támadásokkal szemben, de mint kiderült, a számítási időt nem csak az algoritmus, hanem a processzor jellemzői is meghatározzák.
A javasolt módszer alkalmazásának megvalósíthatóságát bemutató gyakorlati példaként bemutatták a SIKE (Supersingular Isogeny Key Encapsulation) kulcsbeágyazási mechanizmus megvalósítása elleni támadást, amely bekerült az Egyesült Államok által rendezett post-kvantum kriptorendszerek verseny döntőjébe. Nemzeti Szabványügyi és Technológiai Intézet (NIST), és védett az oldalcsatornás támadásokkal szemben. A kísérlet során a támadás kiválasztott rejtjelezett szövegen alapuló új változatával (a titkosított szöveg manipulálásán és visszafejtésének megszerzésén alapuló fokozatos kiválasztás) lehetővé vált a titkosításhoz használt kulcs teljes visszaállítása távoli rendszerről végzett mérésekkel, annak ellenére, hogy SIKE implementáció használata állandó számítási idővel. A 364 bites kulcs meghatározása a CIRCL implementációval 36 órát vett igénybe, a PQCrypto-SIDH pedig 89 órát vett igénybe.
Az Intel és az AMD elismerte processzoraik sebezhetőségét a problémával szemben, de nem tervezik mikrokódfrissítéssel blokkolni a sérülékenységet, mivel a hardveres biztonsági rést a hardver teljesítményének jelentős befolyásolása nélkül nem lehet majd kiküszöbölni. Ehelyett a kriptográfiai könyvtárak fejlesztői ajánlásokat kapnak arra vonatkozóan, hogyan blokkolják programozottan az információszivárgást bizalmas számítások elvégzése során. A Cloudflare és a Microsoft már hozzáadott hasonló védelmet a SIKE implementációihoz, ami 5%-os teljesítményhiányt eredményezett a CIRCL-nél és 11%-os teljesítményhiányt a PQCrypto-SIDH esetében. A biztonsági rés blokkolásának másik megoldása a Turbo Boost, Turbo Core vagy Precision Boost módok letiltása a BIOS-ban vagy az illesztőprogramban, de ez a változtatás a teljesítmény drasztikus csökkenését eredményezi.
Az Intelt, a Cloudflare-t és a Microsoftot 2021 harmadik negyedévében, az AMD-t pedig 2022 első negyedévében értesítették a problémáról, de a probléma nyilvánosságra hozatala az Intel kérésére 14. június 2022-ig halasztották. A probléma meglétét igazolták az Intel Core mikroarchitektúra 8-11 generációján alapuló asztali és laptop processzorok, valamint különféle asztali, mobil és szerver processzorok AMD Ryzen, Athlon, A-Series és EPYC esetében (a kutatók bemutatták a módszert Zen microarchitecture 2-vel és Zen 3-mal rendelkező Ryzen CPU-kon).
Forrás: opennet.ru