TrustZone 스토리지에서 개인 키를 추출할 수 있는 Qualcomm 칩의 취약점

NCC그룹 연구진 폭로 세부 사항 취약점(CVE-2018-11976)를 사용하면 ARM TrustZone 기술을 기반으로 격리된 엔클레이브 Qualcomm QSEE(Qualcomm Secure Execution Environment)에 있는 개인 암호화 키의 내용을 확인할 수 있습니다. 문제는 다음에서 나타납니다. 가장 스냅드래곤 SoC는 안드로이드 플랫폼을 기반으로 한 스마트폰에 널리 보급됐다. 문제를 해결하는 수정 사항은 이미 포함 된 19월 Android 업데이트 및 Qualcomm 칩용 새 펌웨어 릴리스. Qualcomm이 수정 사항을 준비하는 데 2018년 이상이 걸렸으며, 취약점에 대한 정보는 XNUMX년 XNUMX월 XNUMX일에 Qualcomm에 처음 전송되었습니다.

ARM TrustZone 기술을 사용하면 메인 시스템과 완전히 분리되어 별도의 특수 운영 체제를 사용하여 별도의 가상 프로세서에서 실행되는 하드웨어 격리 보호 환경을 만들 수 있다는 점을 기억해 보십시오. TrustZone의 주요 목적은 암호화 키, 생체 인식 인증, 결제 데이터 및 기타 기밀 정보에 대한 격리된 프로세서 실행을 제공하는 것입니다. 기본 OS와의 상호 작용은 디스패치 인터페이스를 통해 간접적으로 수행됩니다. 개인 암호화 키는 하드웨어로 격리된 키 저장소 내에 저장되며, 이를 올바르게 구현하면 기본 시스템이 손상될 경우 누출을 방지할 수 있습니다.

해당 취약점은 타원곡선 처리 알고리즘 구현에 결함이 있어 데이터 처리 진행 상황 정보가 유출되는 현상이다. 연구원들은 기존의 간접 유출을 이용하여 하드웨어 격리된 저장소에 있는 개인 키의 내용을 복구할 수 있는 부채널 공격 기술을 개발했습니다. 안드로이드 키스토어. 누출은 분기 예측 블록의 활동 분석과 메모리 내 데이터에 대한 액세스 시간의 변화를 기반으로 결정됩니다. 실험에서 연구원들은 Nexus 224X 스마트폰에 사용되는 하드웨어 격리 키 저장소에서 256비트 및 5비트 ECDSA 키를 복구하는 것을 성공적으로 시연했습니다. 키를 복구하려면 약 12개의 디지털 서명을 생성해야 했으며, 이는 14시간 이상 걸렸습니다. 공격을 수행하는 데 사용되는 도구 캐시그랩.

문제의 주요 원인은 TrustZone 및 기본 시스템에서 계산을 위한 공통 하드웨어 구성 요소 및 캐시를 공유하는 것입니다. 격리는 논리적 분리 수준에서 수행되지만 공통 컴퓨팅 장치를 사용하고 계산 추적 및 지점에 대한 정보를 사용합니다. 공통 프로세서 캐시에 주소가 저장됩니다. Prime+Probe 방법을 사용하면 캐시된 정보에 대한 액세스 시간의 변화를 평가하여 캐시에 특정 패턴이 있는지 확인함으로써 디지털 서명 계산과 관련된 데이터 흐름 및 코드 실행 징후를 모니터링할 수 있습니다. 정확도가 상당히 높은 TrustZone입니다.

Qualcomm 칩에서 ECDSA 키를 사용하여 디지털 서명을 생성하는 데 대부분의 시간은 각 서명에 대해 변경되지 않는 초기화 벡터를 사용하여 루프에서 곱셈 연산을 수행하는 데 소요됩니다(로마 교황 사절). 공격자가 이 벡터에 대한 정보로 최소한 몇 비트 정도 복구할 수 있다면 전체 개인키를 순차적으로 복구하는 공격이 가능해진다.

퀄컴의 경우 곱셈 알고리즘에서 이러한 정보가 유출된 두 곳이 테이블에서 조회 작업을 수행할 때와 "nonce" 벡터의 마지막 비트 값을 기반으로 하는 조건부 데이터 검색 코드에서 확인되었습니다. Qualcomm 코드에는 제256자 채널을 통한 정보 유출에 대응하는 조치가 포함되어 있음에도 불구하고 개발된 공격 방법을 사용하면 이러한 조치를 우회하고 XNUMX비트 ECDSA 키를 복구하는 데 충분한 "nonce" 값의 여러 비트를 결정할 수 있습니다.

출처 : opennet.ru