Tím vedcov z University of Texas, University of Illinois a University of Washington zverejnil informácie o novej skupine útokov postranným kanálom (CVE-2022-23823, CVE-2022-24436) s kódovým označením Hertzbleed. Navrhovaná metóda útoku je založená na vlastnostiach riadenia dynamickej frekvencie v moderných procesoroch a ovplyvňuje všetky súčasné procesory Intel a AMD. Potenciálne sa problém môže prejaviť aj v procesoroch od iných výrobcov, ktoré podporujú dynamické zmeny frekvencie, napríklad v systémoch ARM, ale štúdia sa obmedzila na testovanie čipov Intel a AMD. Zdrojové texty s implementáciou metódy útoku sú zverejnené na GitHub (implementácia bola testovaná na počítači s CPU Intel i7-9700).
Pre optimalizáciu spotreby energie a zabránenie prehrievaniu procesory dynamicky menia frekvenciu v závislosti od záťaže, čo vedie k zmenám výkonu a ovplyvňuje čas vykonávania operácií (zmena frekvencie o 1 Hz vedie k zmene výkonu o 1 hodinový cyklus za druhý). Počas štúdie sa zistilo, že za určitých podmienok na procesoroch AMD a Intel zmena frekvencie priamo koreluje so spracovávanými údajmi, čo napríklad vedie k tomu, že čas výpočtu operácií „2022 + 23823“ a „2022 + 24436“ budú iné. Na základe analýzy rozdielov v čase vykonávania operácií s rôznymi údajmi je možné nepriamo obnoviť informácie použité vo výpočtoch. Zároveň vo vysokorýchlostných sieťach s predvídateľným konštantným oneskorením môže byť útok vykonaný na diaľku odhadom času vykonania požiadaviek.
Ak je útok úspešný, identifikované problémy umožňujú určiť súkromné kľúče na základe analýzy výpočtového času v kryptografických knižniciach, ktoré využívajú algoritmy, v ktorých sa matematické výpočty vykonávajú vždy v konštantnom čase, bez ohľadu na povahu spracovávaných údajov. . Takéto knižnice sa považovali za chránené pred útokmi na bočný kanál, ale ako sa ukázalo, čas výpočtu je určený nielen algoritmom, ale aj charakteristikami procesora.
Ako praktický príklad ukazujúci uskutočniteľnosť použitia navrhovanej metódy bol demonštrovaný útok na implementáciu mechanizmu zapuzdrenia kľúča SIKE (Supersingular Isogeny Key Encapsulation), ktorý bol zaradený do finále súťaže o postkvantové kryptosystémy organizovanej USA. Národný inštitút pre štandardy a technológie (NIST) a je chránený pred útokmi z bočných kanálov. Počas experimentu sa pomocou nového variantu útoku na základe vybraného šifrového textu (postupný výber na základe manipulácie so šifrovým textom a získania jeho dešifrovania) podarilo úplne obnoviť kľúč použitý na šifrovanie meraním zo vzdialeného systému, a to aj napriek použitie implementácie SIKE s konštantným výpočtovým časom. Určenie 364-bitového kľúča pomocou implementácie CIRCL trvalo 36 hodín a PQCrypto-SIDH 89 hodín.
Intel a AMD uznali zraniteľnosť svojich procesorov voči problému, ale neplánujú túto zraniteľnosť zablokovať aktualizáciou mikrokódu, pretože nebude možné odstrániť zraniteľnosť hardvéru bez výrazného vplyvu na výkon hardvéru. Namiesto toho dostávajú vývojári kryptografických knižníc odporúčania, ako programovo blokovať únik informácií pri vykonávaní dôverných výpočtov. Cloudflare a Microsoft už pridali podobnú ochranu do svojich implementácií SIKE, čo viedlo k 5% zníženiu výkonu pre CIRCL a 11% nárastu výkonu pre PQCrypto-SIDH. Ďalším riešením blokovania tejto chyby zabezpečenia je deaktivácia režimov Turbo Boost, Turbo Core alebo Precision Boost v systéme BIOS alebo ovládači, táto zmena však povedie k drastickému zníženiu výkonu.
Intel, Cloudflare a Microsoft boli o probléme informované v treťom štvrťroku 2021 a AMD v prvom štvrťroku 2022, no verejné odhalenie problému bolo na žiadosť Intelu odložené do 14. júna 2022. Prítomnosť problému bola potvrdená v procesoroch pre stolné počítače a notebooky založené na 8-11 generáciách mikroarchitektúry Intel Core, ako aj pre rôzne desktopové, mobilné a serverové procesory AMD Ryzen, Athlon, A-Series a EPYC (výskumníci demonštrovali metódu na procesoroch Ryzen s mikroarchitektúrou Zen 2 a Zen 3).
Zdroj: opennet.ru