Intel和來自UT Austin、UIUC和UW的科學家今天分發了論文描述了Hertzbleed攻擊晶片的弱點,Hertzbleed允許旁道攻擊透過CPU的提升頻率水平和功率儀器來獲取秘密的AES加密金鑰。根據外部科學家和研究人員的說法Intel和AMD CPU都會受到攻擊。不過AMD尚未發出警告。
Intel表示它透過內部安全檢查發現了這個弱點,但外部研究小組後來也向該組織發現了他們的發現。目前這個問題進入了大眾的視野,來自不同商家的CPU也受到了影響。Hertzbleed的攻擊透過利用程式對系統的可選影響來獲取訊息,並且在這種情況下,觀察一些隨機加密工作負載的功率簽名。同樣對於大多數喜統工作負載,加密工作負載留下的簽名會發生變化,因為處理器的動態升壓頻率會在處理過程中發生變化。攻擊者可以將電力數據完全轉換為時間訊息,從而允許他們獲取加密金鑰。以前針對電力攻擊而鞏固的加密執行對於Hertzbleed的弱點並非無能為力。
Hertzbleed CPU漏洞目前正在影響AMD和Intel處理器。有趣的是它只影響Zen2和Zen3架構,同樣的漏洞是否會出現在即將推出的Zen4處理器中還不得而知。
可以從任何位置利用Hertzbleed。它不需要實際訪問。需要擔心的是儘管它目前正在影響以前和當前的AMD和Intel處理器,但它可能會影響最先進的CPU。這種擔憂是因為它透過注意動態電壓頻率縮放或DVFS方法背後的功率計算來工作,這是當今CPU中的標準。任何有動態電源和適當散熱管理的處理器都會受到影響。Intel表示這促使其將其發現傳授給其他經 片製造商,以便他們評估任何預期效果。
Intel表示它認為這種攻擊在實驗室之外並不實用,因為找到並刪除加密金鑰需要“數小時到數天”。
消息來源
|