Fuerscher vun der NCC Group
Loosst eis drun erënneren datt d'ARM TrustZone Technologie Iech erlaabt Hardware-isoléiert geschützte Ëmfeld ze kreéieren déi komplett vum Haaptsystem getrennt sinn an op engem separaten virtuelle Prozessor lafen mat engem separaten spezialiséierte Betribssystem. Den Haaptzweck vu TrustZone ass isoléiert Ausféierung vu Prozessoren fir Verschlësselungsschlësselen, biometresch Authentifikatioun, Bezueldaten an aner vertraulech Informatioun ze bidden. Interaktioun mat der Haapt OS gëtt indirekt duerch d'Verschécken Interface duerchgefouert. Privat Verschlësselungsschlëssel ginn an engem hardware-isoléierte Schlësselgeschäft gespäichert, deen, wa richteg ëmgesat ass, hir Leckage verhënneren kann wann de Basisdaten System kompromittéiert ass.
D'Schwachheet ass wéinst engem Feeler an der Ëmsetzung vum ellipteschen Kurveveraarbechtung Algorithmus, deen zu Leckage vun Informatioun iwwer de Fortschrëtt vun der Dateveraarbechtung gefouert huet. Fuerscher hunn eng Säit-Kanal Attack Technik entwéckelt, déi et erlaabt existent indirekt Leaks ze benotzen fir den Inhalt vu privaten Schlësselen an engem Hardware-isoléierten Inhalt ze recuperéieren.
D'Haaptursaach vum Problem ass d'Deelen vun gemeinsamen Hardware Komponenten a Cache fir Berechnungen an der TrustZone an am Haaptsystem - Isolatioun gëtt um Niveau vun der logescher Trennung gemaach, awer mat gemeinsame Recheneenheeten a mat Spuere vu Berechnungen an Informatioun iwwer Branche Adressen déi am gemeinsame Prozessor Cache deposéiert ginn. Mat der Prime + Sonde Method, baséiert op d'Bewäertung vun Ännerunge vun der Zougangszäit zu cachéierten Informatioun, ass et méiglech, andeems Dir d'Präsenz vu bestëmmte Musteren am Cache kontrolléiert, Datenfloss an Zeeche vun der Code Ausféierung ze iwwerwaachen, déi mat de Berechnunge vun digitalen Ënnerschrëften verbonne sinn. TrustZone mat zimlech héijer Genauegkeet.
Déi meescht vun der Zäit fir eng digital Ënnerschrëft mat ECDSA Schlësselen a Qualcomm Chips ze generéieren gëtt verbruecht fir Multiplikatiounsoperatiounen an enger Loop auszeféieren mat engem Initialisierungsvektor deen onverännert ass fir all Ënnerschrëft (
Am Fall vu Qualcomm goufen zwou Plazen, wou esou Informatioune geleckt goufen, am Multiplikatiouns-Algorithmus identifizéiert: Wann Dir Lookup-Operatiounen an Tabellen an am bedingten Dateschutzcode baséiert op de Wäert vum leschte Bit am "nonce" Vektor. Trotz der Tatsaach, datt Qualcomm Code Moossnamen enthält fir Informatiounsleckage duerch Drëtt-Partei Channels entgéintzewierken, erlaabt d'entwéckelt Attackmethod Iech dës Moossnamen z'entgoen an e puer Bits vum "nonce" Wäert ze bestëmmen, déi genuch sinn fir 256-Bit ECDSA Schlësselen ze recuperéieren.
Source: opennet.ru