Een team van onderzoekers van de Universiteit van Texas, Universiteit van Illinois en Universiteit van Washington heeft informatie vrijgegeven over een nieuwe familie van zijkanaalaanvallen (CVE-2022-23823, CVE-2022-24436), met de codenaam Hertzbleed. De voorgestelde aanvalsmethode is gebaseerd op de kenmerken van dynamische frequentiecontrole in moderne processors en heeft invloed op alle huidige Intel- en AMD-CPU's. Mogelijk manifesteert het probleem zich ook bij processors van andere fabrikanten die dynamische frequentieveranderingen ondersteunen, bijvoorbeeld in ARM-systemen, maar het onderzoek beperkte zich tot het testen van Intel- en AMD-chips. De bronteksten met de implementatie van de aanvalsmethode zijn gepubliceerd op GitHub (de implementatie is getest op een computer met een Intel i7-9700 CPU).
Om het stroomverbruik te optimaliseren en oververhitting te voorkomen, veranderen processors de frequentie dynamisch afhankelijk van de belasting, wat leidt tot veranderingen in de prestaties en de uitvoeringstijd van bewerkingen beïnvloedt (een verandering in frequentie met 1 Hz leidt tot een verandering in prestaties met 1 klokcyclus per seconde). Tijdens het onderzoek bleek dat onder bepaalde omstandigheden op AMD- en Intel-processors de verandering in frequentie direct correleert met de gegevens die worden verwerkt, wat er bijvoorbeeld toe leidt dat de rekentijd van de bewerkingen “2022 + 23823” en “2022 + 24436” zal anders zijn. Op basis van de analyse van verschillen in de uitvoeringstijd van bewerkingen met verschillende gegevens is het mogelijk om indirect de informatie te herstellen die bij berekeningen wordt gebruikt. Tegelijkertijd kan in hogesnelheidsnetwerken met voorspelbare constante vertragingen een aanval op afstand worden uitgevoerd door de uitvoeringstijd van verzoeken te schatten.
Als de aanval succesvol is, maken de geïdentificeerde problemen het mogelijk om privésleutels te bepalen op basis van een analyse van de rekentijd in cryptografische bibliotheken die algoritmen gebruiken waarin wiskundige berekeningen altijd in constante tijd worden uitgevoerd, ongeacht de aard van de gegevens die worden verwerkt. . Dergelijke bibliotheken werden beschouwd als beschermd tegen zijkanaalaanvallen, maar het bleek dat de rekentijd niet alleen wordt bepaald door het algoritme, maar ook door de kenmerken van de processor.
Als praktisch voorbeeld dat de haalbaarheid van het gebruik van de voorgestelde methode aantoont, werd een aanval op de implementatie van het SIKE-sleutelinkapselingsmechanisme (Supersingular Isogeny Key Encapsulation) gedemonstreerd, dat was opgenomen in de finale van de post-quantum cryptosystems-wedstrijd gehouden door de VS. National Institute of Standards and Technology (NIST), en is gepositioneerd als beschermd tegen zijkanaalaanvallen. Tijdens het experiment was het met behulp van een nieuwe variant van de aanval op basis van geselecteerde cijfertekst (geleidelijke selectie op basis van manipulatie van de cijfertekst en het verkrijgen van decodering ervan) mogelijk om de sleutel die voor de codering werd gebruikt volledig te herstellen door metingen uit te voeren vanaf een systeem op afstand, ondanks het gebruik van een SIKE-implementatie met constante rekentijd. Het bepalen van een 364-bits sleutel met behulp van de CIRCL-implementatie duurde 36 uur, en PQCrypto-SIDH duurde 89 uur.
Intel en AMD hebben de kwetsbaarheid van hun processors voor het probleem erkend, maar zijn niet van plan de kwetsbaarheid te blokkeren door middel van een microcode-update, aangezien het niet mogelijk zal zijn om de kwetsbaarheid in de hardware te elimineren zonder een significante impact op de hardwareprestaties. In plaats daarvan krijgen ontwikkelaars van cryptografische bibliotheken aanbevelingen over hoe ze het lekken van informatie programmatisch kunnen blokkeren bij het uitvoeren van vertrouwelijke berekeningen. Cloudflare en Microsoft hebben al een vergelijkbare bescherming toegevoegd aan hun SIKE-implementaties, wat heeft geresulteerd in een prestatiehit van 5% voor CIRCL en een prestatiehit van 11% voor PQCrypto-SIDH. Een andere oplossing om het beveiligingslek te blokkeren is het uitschakelen van de Turbo Boost-, Turbo Core- of Precision Boost-modi in het BIOS of de driver, maar deze wijziging zal resulteren in een drastische afname van de prestaties.
Intel, Cloudflare en Microsoft werden in het derde kwartaal van 2021 op de hoogte gebracht van het probleem, en AMD in het eerste kwartaal van 2022, maar de publieke openbaarmaking van het probleem werd op verzoek van Intel uitgesteld tot 14 juni 2022. De aanwezigheid van het probleem is bevestigd in desktop- en laptopprocessors gebaseerd op 8-11 generaties Intel Core-microarchitectuur, evenals voor verschillende desktop-, mobiele en serverprocessors AMD Ryzen, Athlon, A-Series en EPYC (onderzoekers demonstreerden de methode op Ryzen CPU's met Zen-microarchitectuur 2 en Zen 3).
Bron: opennet.ru