Группа академических исследователей из Технологического института Джорджии, Университета Пердью и компании Synkhronix разработала новую атаку по побочным каналам под названием . Атака позволяет физически перехватывать трафик памяти DDR5 для извлечения криптографических ключей и других секретов из новейших доверенных сред выполнения (TEE) от Intel и AMD, включая технологии Intel Software Guard eXtensions (SGX) и Trust Domain Extensions (TDX), а также AMD Secure Encrypted Virtualization with Secure Nested Paging (SEV-SNP).
Атака осуществляется с помощью специального устройства-перехватчика, созданного из общедоступного электронного оборудования стоимостью менее 1000 долларов. Это устройство физически устанавливается между центральным процессором и оперативной памятью (DRAM) на серверах с технологией DDR5, что позволяет инспектировать весь трафик чтения и записи в реальном времени.
Фундаментальный недостаток, который эксплуатирует , кроется в режиме шифрования AES-XTS, используемом как Intel, так и AMD для шифрования памяти. Этот режим является детерминированным, что означает, что одни и те же открытые данные всегда преобразуются в один и тот же шифротекст. Такой подход недостаточен для защиты от физических атак с перехватом трафика на шине памяти, создавая побочный канал для утечки информации.
является первой в своем роде атакой, продемонстрированной против памяти DDR5, и подрывает основы безопасности новейшего оборудования. Важно, что атака эффективна против полностью обновленных машин, находящихся в доверенном статусе. Это отличает ее от предыдущих атак на память DDR4, таких как Battering RAM и WireTap.
В ходе демонстрации исследователям удалось извлечь критически важные секреты. В частности, были получены аттестационные ключи ECDSA (Elliptic Curve Digital Signature Algorithm) из анклава Intel Provisioning Certification Enclave (PCE), а также приватные ключи подписи из реализации ECDSA в криптографической библиотеке OpenSSL.
Кража аттестационных ключей позволяет полностью скомпрометировать процесс аттестации Intel SGX и TDX. Это дает злоумышленнику возможность ложно «доказать», что данные и код выполняются внутри защищенной конфиденциальной виртуальной машины (CVM), хотя на самом деле это не так. В результате злоумышленник может читать пользовательские данные, предоставлять неверные результаты вычислений и при этом подделывать успешную аттестацию, делая компрометацию незаметной для пользователя.
Последствия атаки выходят за рамки центральных процессоров. Похищенные аттестационные ключи могут быть использованы для компрометации технологии конфиденциальных вычислений на графических процессорах Nvidia (GPU Confidential Computing). Это позволяет злоумышленникам запускать рабочие нагрузки искусственного интеллекта без какой-либо защиты со стороны TEE.
Существующие аппаратные и программные защитные меры оказались неэффективными против . Технология AMD SEV-SNP с функцией Ciphertext Hiding не предотвращает эту атаку. Также недостаточно и использование криптографического кода с постоянным временем выполнения, применяемого, например, в OpenSSL, для смягчения последствий физического перехвата на шине.
На данный момент нет доказательств того, что атака использовалась в реальных условиях. Реакция производителей оборудования была однозначной. AMD заявила, что не планирует предоставлять меры по смягчению последствий, поскольку физические векторы атак считаются «вне зоны ответственности» для технологии AMD SEV-SNP. Intel выпустила аналогичное уведомление, подтвердив, что такие физические атаки также находятся «вне области применения» их модели угроз.
Исследователи, обнаружившие уязвимость, рекомендуют использовать программные контрмеры для снижения рисков, связанных с детерминированным шифрованием. Однако они предупреждают, что внедрение таких мер, скорее всего, будет дорогостоящим с точки зрения производительности системы.
Изображение носит иллюстративный характер
Атака осуществляется с помощью специального устройства-перехватчика, созданного из общедоступного электронного оборудования стоимостью менее 1000 долларов. Это устройство физически устанавливается между центральным процессором и оперативной памятью (DRAM) на серверах с технологией DDR5, что позволяет инспектировать весь трафик чтения и записи в реальном времени.
Фундаментальный недостаток, который эксплуатирует , кроется в режиме шифрования AES-XTS, используемом как Intel, так и AMD для шифрования памяти. Этот режим является детерминированным, что означает, что одни и те же открытые данные всегда преобразуются в один и тот же шифротекст. Такой подход недостаточен для защиты от физических атак с перехватом трафика на шине памяти, создавая побочный канал для утечки информации.
является первой в своем роде атакой, продемонстрированной против памяти DDR5, и подрывает основы безопасности новейшего оборудования. Важно, что атака эффективна против полностью обновленных машин, находящихся в доверенном статусе. Это отличает ее от предыдущих атак на память DDR4, таких как Battering RAM и WireTap.
В ходе демонстрации исследователям удалось извлечь критически важные секреты. В частности, были получены аттестационные ключи ECDSA (Elliptic Curve Digital Signature Algorithm) из анклава Intel Provisioning Certification Enclave (PCE), а также приватные ключи подписи из реализации ECDSA в криптографической библиотеке OpenSSL.
Кража аттестационных ключей позволяет полностью скомпрометировать процесс аттестации Intel SGX и TDX. Это дает злоумышленнику возможность ложно «доказать», что данные и код выполняются внутри защищенной конфиденциальной виртуальной машины (CVM), хотя на самом деле это не так. В результате злоумышленник может читать пользовательские данные, предоставлять неверные результаты вычислений и при этом подделывать успешную аттестацию, делая компрометацию незаметной для пользователя.
Последствия атаки выходят за рамки центральных процессоров. Похищенные аттестационные ключи могут быть использованы для компрометации технологии конфиденциальных вычислений на графических процессорах Nvidia (GPU Confidential Computing). Это позволяет злоумышленникам запускать рабочие нагрузки искусственного интеллекта без какой-либо защиты со стороны TEE.
Существующие аппаратные и программные защитные меры оказались неэффективными против . Технология AMD SEV-SNP с функцией Ciphertext Hiding не предотвращает эту атаку. Также недостаточно и использование криптографического кода с постоянным временем выполнения, применяемого, например, в OpenSSL, для смягчения последствий физического перехвата на шине.
На данный момент нет доказательств того, что атака использовалась в реальных условиях. Реакция производителей оборудования была однозначной. AMD заявила, что не планирует предоставлять меры по смягчению последствий, поскольку физические векторы атак считаются «вне зоны ответственности» для технологии AMD SEV-SNP. Intel выпустила аналогичное уведомление, подтвердив, что такие физические атаки также находятся «вне области применения» их модели угроз.
Исследователи, обнаружившие уязвимость, рекомендуют использовать программные контрмеры для снижения рисков, связанных с детерминированным шифрованием. Однако они предупреждают, что внедрение таких мер, скорее всего, будет дорогостоящим с точки зрения производительности системы.
