Koox cilmi-baarayaal ah oo ka socda Jaamacadda Texas, University of Illinois, iyo Jaamacadda Washington ayaa shaaca ka qaaday macluumaadka ku saabsan qoys cusub oo ka mid ah weerarrada kanaalka-dhinac (CVE-2022-23823, CVE-2022-24436), oo magaceedu yahay Hertzbleed. Habka weerarka ee la soo jeediyay wuxuu ku salaysan yahay sifooyinka kontoroolka firfircoonida soo noqnoqda ee soosaarayaasha casriga ah wuxuuna saameeyaa dhammaan Intel iyo AMD CPUs hadda. Sida suurtogalka ah, dhibaatadu waxay sidoo kale ka muuqan kartaa soo-saareyaasha kale ee soo-saareyaasha kale ee taageera isbeddellada soo noqnoqda ee firfircoon, tusaale ahaan, nidaamyada ARM, laakiin daraasaddu waxay ku koobnayd tijaabinta chips Intel iyo AMD. Qoraallada isha ee leh hirgelinta habka weerarka waxaa lagu daabacay GitHub ( dhaqangelinta waxaa lagu tijaabiyay kumbuyuutar leh Intel i7-9700 CPU).
Si loo wanaajiyo isticmaalka tamarta loogana hortago kulaylka, soo-saarayaashu waxay si firfircoon u beddelaan soo noqnoqda iyadoo ku xiran culeyska, taas oo keenta isbeddel ku yimaada waxqabadka oo saameeya waqtiga fulinta ee hawlgallada (isbeddelka soo noqnoqda ee 1 Hz wuxuu keenaa isbeddel ku yimaada waxqabadka 1 saac wareeg kasta labaad). Inta lagu jiro daraasadda, waxaa la ogaaday in shuruudaha qaarkood ee AMD iyo processor-yada Intel, isbeddelka soo noqnoqda uu si toos ah ula xiriiro xogta la shaqeynayo, tusaale ahaan, waxay keenaysaa xaqiiqda ah in waqtiga xisaabinta ee hawlgallada "2022 + 23823" iyo "2022 + 24436" way ka duwanaan doontaa. Iyada oo ku saleysan falanqaynta kala duwanaanshaha waqtiga fulinta hawlgallada xogta kala duwan, waxaa suurtagal ah in si dadban loo soo celiyo macluumaadka loo isticmaalo xisaabinta. Isla mar ahaantaana, shabakadaha xawaaraha sare leh oo leh dib-u-dhac joogto ah oo la saadaalin karo, weerar ayaa lagu qaadi karaa meel fog iyadoo la qiyaasayo wakhtiga fulinta codsiyada.
Haddii weerarku guulaysto, dhibaatooyinka la aqoonsaday ayaa suurtogal ka dhigaya in la go'aamiyo furayaasha gaarka ah iyadoo lagu saleynayo falanqaynta wakhtiga xisaabinta ee maktabadaha cryptographic ee isticmaala algorithms kuwaas oo xisaabinta xisaabta had iyo jeer lagu sameeyo wakhti joogto ah, iyada oo aan loo eegin nooca xogta la farsameeyo. . Maktabadaha noocan oo kale ah ayaa loo tixgeliyey inay ka ilaalinayaan weerarrada kanaalka, laakiin sida ay soo baxday, wakhtiga xisaabinta waxaa lagu go'aamiyaa ma aha oo kaliya algorithm, laakiin sidoo kale sifooyinka processor-ka.
Sida tusaale wax ku ool ah oo muujinaya suurtogalnimada isticmaalka habka la soo jeediyay, weerar lagu qaaday hirgelinta SIKE (Supersingular Isogeny Key Encapsulation) farsamada muhiimka ah ayaa la soo bandhigay, kaas oo lagu daray finalka tartanka cryptosystems-ka dambe ee uu qabtay Maraykanku Machadka Heerarka iyo Tignoolajiyada Qaranka (NIST), wuxuuna u taagan yahay sidii looga ilaalin lahaa weerarrada kanaalka. Inta lagu jiro tijaabada, iyadoo la adeegsanayo nooc cusub oo weerarka ah oo ku saleysan ciphertext la doortay (doorasho tartiib tartiib ah oo ku saleysan wax ka beddelka qoraalka iyo helitaanka furaha), waxaa suurtagal ah in gebi ahaanba dib loo soo celiyo furaha loo isticmaalo sirta iyadoo laga qaadayo cabbirro nidaam fog, inkastoo isticmaalka fulinta SIKE oo leh waqti xisaabin joogto ah. Go'aaminta furaha 364-bit iyadoo la adeegsanayo hirgelinta CIRCL waxay qaadatay 36 saacadood, PQCrypto-SIDH-na waxay qaadatay 89 saacadood.
Intel iyo AMD waxay qireen u nuglaanshaha soo-saarayaashooda dhibaatada, laakiin ma qorsheynayaan inay ku xannibaan dayacanka iyada oo loo marayo casriyeynta microcode, maadaama aysan suurtagal ahayn in la tirtiro nuglaanta qalabka iyada oo aan saameyn weyn ku yeelan waxqabadka qalabka. Taa baddalkeeda, horumarinta maktabadaha cryptographic waxaa la siiyaa talooyin ku saabsan sida barnaamij ahaan loo xannibo daadinta macluumaadka marka la sameynayo xisaabinta qarsoodiga ah. Cloudflare iyo Microsoft waxay mar hore ku dareen ilaalin la mid ah hirgelintooda SIKE, taasoo keentay 5% waxqabad CIRCL ku dhuftay iyo 11% waxqabad PQCrypto-SIDH ah. Hawsha kale ee lagu joojinayo nuglaanta waa in la joojiyo Turbo Boost, Turbo Core, ama Hababka Kobcinta Saxda ah ee BIOS ama darawalka, laakiin isbedelkani wuxuu dhalin doonaa hoos u dhac weyn oo ku yimaada waxqabadka.
Intel, Cloudflare iyo Microsoft ayaa arrinta la ogeysiiyay rubuci saddexaad ee 2021, iyo AMD rubuci hore ee 2022, laakiin shaacinta dadweynaha ee arrinta ayaa dib loo dhigay illaa Juun 14, 2022 codsi Intel ah. Jiritaanka dhibaatada ayaa lagu xaqiijiyay kumbuyuutarrada desktop-ka iyo laptop-yada iyadoo lagu saleynayo jiilka 8-11 ee Intel Core microarchitecture, iyo sidoo kale kumbuyuutarrada kala duwan ee desktop, mobilada iyo server-yada AMD Ryzen, Athlon, A-Series iyo EPYC (cilmi-baarayaashu waxay muujiyeen habka on Ryzen CPUs oo leh Zen microarchitecture 2 iyo Zen 3).
Source: opennet.ru