Hertzbleed CPU ranjivost za krađu kripto ključeva
- Objavljeno u Novosti
Intel i istraživači iz UT Austina, UIUC i UW objavili su radove u kojima se opisuje Hertzbleed ranjivost koja omogućuje napade "bočnim" kanalima koji mogu ukrasti tajne AES kriptografske ključeve promatrajući mehanizme povećanja frekvencije/snage CPU-a.
Intel kaže da je ovu ranjivost pronašao putem internih sigurnosnih istraga, ali su vanjski istraživački timovi kasnije otkrili svoje nalaze.
Napad temeljen na Hertzbleedu krade podatke promatranjem ili iskorištavanjem sekundarnog učinka operacije na sustavu. U ovom slučaju, promatranjem potpisa snage bilo kojeg danog kriptografskog opterećenja. Kao i kod većine radnih opterećenja, potpis snage kriptografskog radnog opterećenja varira zbog prilagodbi frekvencije dinamičkog takta povećanja CPU-a tijekom radnog opterećenja. Napadač može pretvoriti te podatke o snazi u podatke o vremenu, dopuštajući im da ukradu kriptografske ključeve.
Ranjivost utječe na sve Intelove procesore i AMD Zen 2 i Zen 3, ali nije jasno hoće li utjecati na nadolazeći Zen 4 Ryzen 7000.
Hertzbleed se može iskorištavati na daljinu jer ne zahtijeva fizički pristup. Mada exploit dokazano radi samo na Intel i AMD procesorima, teoretski bi se mogao primjenjivati na gotovo svim modernim procesorima jer radi promatranjem algoritama napajanja koji stoje iza tehnike dinamičkog skaliranja frekvencije napona (DVFS), osnovne komponente modernih procesora.
Intel kaže da ne misli da je ovaj napad praktičan izvan laboratorijskog okruženja, djelomično zato što su potrebni "sati do dani" za krađu kriptografskog ključa. Dodatno, eksploatacija temeljena na ovom napadu zahtijevala bi sofisticirane mogućnosti nadzora snage visoke razlučivosti.
Više informacija potražite na ovoj poveznici: https://www.hertzbleed.com