Uma equipe de pesquisadores da Universidade do Texas, da Universidade de Illinois e da Universidade de Washington divulgou informações sobre uma nova família de ataques de canal lateral (CVE-2022-23823, CVE-2022-24436), codinome Hertzbleed. O método de ataque proposto é baseado nos recursos de controle dinâmico de frequência em processadores modernos e afeta todas as CPUs Intel e AMD atuais. Potencialmente, o problema também pode se manifestar em processadores de outros fabricantes que suportam mudanças dinâmicas de frequência, por exemplo, em sistemas ARM, mas o estudo se limitou a testar chips Intel e AMD. Os textos fonte com a implementação do método de ataque estão publicados no GitHub (a implementação foi testada em um computador com CPU Intel i7-9700).
Para otimizar o consumo de energia e evitar superaquecimento, os processadores alteram dinamicamente a frequência dependendo da carga, o que leva a mudanças no desempenho e afeta o tempo de execução das operações (uma mudança na frequência em 1 Hz leva a uma mudança no desempenho em 1 ciclo de clock por segundo). Durante o estudo, constatou-se que sob certas condições nos processadores AMD e Intel, a mudança na frequência se correlaciona diretamente com os dados que estão sendo processados, o que, por exemplo, leva ao fato de que o tempo de cálculo das operações “2022 + 23823” e “2022 + 24436” será diferente. A partir da análise das diferenças no tempo de execução de operações com dados diferentes, é possível restaurar indiretamente as informações utilizadas nos cálculos. Ao mesmo tempo, em redes de alta velocidade com atrasos constantes previsíveis, um ataque pode ser realizado remotamente estimando o tempo de execução das solicitações.
Caso o ataque seja bem-sucedido, os problemas identificados permitem determinar chaves privadas com base na análise do tempo de computação em bibliotecas criptográficas que utilizam algoritmos nos quais os cálculos matemáticos são sempre realizados em tempo constante, independentemente da natureza dos dados processados. . Essas bibliotecas foram consideradas protegidas contra ataques de canal lateral, mas, como se viu, o tempo de cálculo é determinado não apenas pelo algoritmo, mas também pelas características do processador.
Como exemplo prático que mostra a viabilidade da utilização do método proposto, foi demonstrado um ataque à implementação do mecanismo de encapsulamento de chaves SIKE (Supersingular Isogeny Key Encapsulation), que foi incluído na final da competição de criptossistemas pós-quânticos realizada pelos EUA. Instituto Nacional de Padrões e Tecnologia (NIST) e está posicionado como protegido contra ataques de canal lateral. Durante o experimento, utilizando uma nova variante do ataque baseado no texto cifrado selecionado (seleção gradual baseada na manipulação do texto cifrado e obtenção de sua descriptografia), foi possível recuperar completamente a chave usada para criptografia fazendo medições de um sistema remoto, apesar o uso de uma implementação SIKE com tempo de computação constante. A determinação de uma chave de 364 bits usando a implementação CIRCL levou 36 horas e o PQCrypto-SIDH levou 89 horas.
Intel e AMD reconheceram a vulnerabilidade de seus processadores ao problema, mas não planejam bloquear a vulnerabilidade por meio de uma atualização de microcódigo, uma vez que não será possível eliminar a vulnerabilidade no hardware sem um impacto significativo no desempenho do hardware. Em vez disso, os desenvolvedores de bibliotecas criptográficas recebem recomendações sobre como bloquear programaticamente o vazamento de informações ao realizar cálculos confidenciais. Cloudflare e Microsoft já adicionaram proteção semelhante às suas implementações SIKE, o que resultou em um impacto de desempenho de 5% para CIRCL e um impacto de desempenho de 11% para PQCrypto-SIDH. Outra solução alternativa para bloquear a vulnerabilidade é desabilitar os modos Turbo Boost, Turbo Core ou Precision Boost no BIOS ou driver, mas essa alteração resultará em uma diminuição drástica no desempenho.
Intel, Cloudflare e Microsoft foram notificadas sobre o problema no terceiro trimestre de 2021, e AMD no primeiro trimestre de 2022, mas a divulgação pública do problema foi adiada para 14 de junho de 2022, a pedido da Intel. A presença do problema foi confirmada em processadores para desktops e laptops baseados em 8-11 gerações da microarquitetura Intel Core, bem como para vários processadores para desktops, dispositivos móveis e servidores AMD Ryzen, Athlon, A-Series e EPYC (os pesquisadores demonstraram o método em CPUs Ryzen com microarquitetura Zen 2 e Zen 3).
Fonte: opennet.ru