Eric Biggers, salah sahiji pamekar cipher Adiantum sareng pangropéa subsistem fscrypt kernel Linux, ngusulkeun sakumpulan patches pikeun meungpeuk masalah kaamanan anu timbul tina fitur prosesor Intel anu henteu ngajamin waktos palaksanaan konstan pikeun data olahan anu béda. Masalahna muncul dina prosesor Intel dimimitian ku kulawarga Ice Lake. Masalah anu sami dititénan dina prosesor ARM.
Ayana gumantungna waktos palaksanaan paréntah dina data anu diolah dina paréntah ieu dianggap ku panulis patch salaku kerentanan dina prosesor, sabab kabiasaan sapertos kitu henteu tiasa ngajamin kaamanan operasi kriptografi anu dilakukeun dina sistem. Seueur palaksanaan algoritma kriptografi dirancang pikeun mastikeun yén data henteu mangaruhan waktos palaksanaan paréntah, sareng ngalanggar paripolah ieu tiasa nyababkeun serangan saluran sisi anu pulih data dumasar kana analisa waktos ngolahna.
Berpotensi, kagumantungan data runtime ogé bisa dipaké pikeun ngajalankeun serangan pikeun nangtukeun data kernel ti spasi pamaké. Numutkeun kana Eric Biggers, waktos palaksanaan konstan henteu disayogikeun sacara standar bahkan pikeun paréntah anu ngalaksanakeun operasi tambahan sareng XOR, ogé pikeun paréntah AES-NI khusus (inpormasi anu henteu dikonfirmasi ku tés, dumasar kana data anu sanés, aya tunda hiji. siklus salila multiplikasi vektor jeung cacah bit).
Pikeun nganonaktipkeun kabiasaan ieu, Intel sarta ARM geus ngajukeun umbul anyar: PSTATE bit DIT (Data Independent Timing) pikeun ARM CPUs jeung MSR bit DOITM (Data Operand Timing Mode bebas) pikeun Intel CPUs, balik kabiasaan heubeul kalawan waktu palaksanaan konstan. Intel sarta ARM nyarankeun sangkan panyalindungan sakumaha diperlukeun pikeun kode kritis, tapi kanyataanana, komputasi kritis bisa lumangsung di mana waé dina kernel na spasi pamaké, jadi urang tempo sangkan DOITM na DIT modeu pikeun sakabéh kernel sepanjang waktos.
Pikeun prosesor ARM, cabang kernel Linux 6.2 parantos ngadopsi patch anu ngarobih paripolah pikeun kernel, tapi patch ieu dianggap henteu cekap sabab ngan ukur nutupan kode kernel sareng henteu ngarobih paripolah pikeun rohangan pangguna. Pikeun prosesor Intel, kaasup panyalindungan masih dina tahap review. Dampak patch dina kinerja teu acan diukur, tapi nurutkeun dokuméntasi Intel, sangkan mode DOITM ngurangan kinerja (contona, ku nganonaktipkeun sababaraha optimizations, kayaning preloading data-spésifik) sarta dina model processor hareup ngurangan kinerja bisa ningkatkeun. .
sumber: opennet.ru