社区编辑申请
注册/登录
一种频率侧信道攻击可影响Intel、AMD处理器
安全
Hertzbleed侧信道攻击是一种频率侧信道攻击。最坏情况下,攻击者可以从远程服务器提取加密密钥。Hertzbleed是对加密软件的一个真实的、现实的安全威胁。

Hertzbleed侧信道攻击影响Intel、AMD处理器。

Hertzbleed侧信道攻击是一种频率侧信道攻击。最坏情况下,攻击者可以从远程服务器提取加密密钥。Hertzbleed是对加密软件的一个真实的、现实的安全威胁。此外,攻击者还可以对SIKE使用选择密文攻击来执行全密钥提取。

SIKE

密钥封装机制是一种使用非对称密码学技术安全交换对称密钥的协议。SIKE (Supersingular Isogeny Key Encapsulation,超奇异基因密钥封装)是一种广泛应用的密钥封装机制,入选NIST后量子密码学竞赛最后一轮。有多个工业界实现和部署实验。

Hertzbleed侧信道攻击

电力侧信道攻击利用CPU中电力消耗的数据独立的变量来泄露秘密信息。近日,研究人员发现针对x86 CPU的Hertzbleed电力侧信道攻击可以通过电力度量接口转化为时间侧信道攻击。在特定情况下,周期性的CPU频率调整与当前CPU电力消耗有关,而频率的调整可以直接转为执行时间差异。

Hertzbleed侧信道攻击甚至可以通过远程时间分析来泄露加密代码。研究表明当前使用恒定时间代码的行业实践不足以确保在现代处理器上的恒定时间执行。

Hertzbleed CVE编号为CVE-2022-23823和CVE-2022-24436。Hertzbleed并非一个安全漏洞,攻击能够实现的根本原因是现代处理器的一个特征——动态频率调整。动态频率调整本来是在CPU低负载的情况下用于减少电力消耗的,确保系统在高负载情况下处于电力和温度限制。

影响

Intel发布安全公告称,所有的Intel处理器都受到影响。实验也表明,多个Intel处理器受影响,包括8到11代处理器笔记本和台式机。AMD的安全公告表明多个笔记本、手机和服务器处理器受到影响。实验表明,AMD Ryzen处理器受到影响,Zen 2和Zen 3微架构的笔记本和台式机受到影响。

包括Arm在内的其他处理器厂商也称受到Hertzbleed侧信道攻击的影响,但研究人员未进一步确认。

时间轴

研究人员在2021年第3季度向微软、Intel公开了PoC代码,在2022年1季度向AMD公开了PoC代码。

截止目前,Intel和AMD不计划部署微代码补丁来缓解Hertzbleed攻击。但是Intel在软件层面提供了缓解Hertzbleed攻击的指南。密码学开发人员可以根据Intel的指南来对库和应用进行加固。

还有一种应对Hertzbleed攻击的方式就是禁用频率调制。但这会对性能带来明显的影响,因此并不建议采取这种应对措施。

对SIKE攻击的应对

Cloudflare和微软已经部署了针对SIKE的应对策略。应对措施包括在解封装前验证密文中是否包含正确排序的线性独立的点对。

Hertzbleed的研究成果已被安全顶会USENIX Security录用,研究论文下载地址:

Hertzbleed侧信道攻击实验源代码参见:https://github.com/FPSG-UIUC/hertzbleed。

本文翻译自:https://www.hertzbleed.com/如若转载,请注明原文地址。

责任编辑:姜华 来源: 嘶吼网
相关推荐

2022-06-15 14:40:54

英特尔漏洞

2022-06-15 08:21:49

Linux运维工程师

2020-03-10 14:21:34

漏洞侧信道攻击

2022-06-16 17:02:49

微软智能云混合云Azure

2022-06-15 09:01:41

2022-06-23 09:49:16

火绒安全英特尔

2022-06-09 18:04:46

网络攻击网络安全

2022-06-16 15:42:16

攻击面管理ASM

2022-06-06 17:40:00

龙芯

2022-05-27 15:06:22

攻击面管理(ASM)网络安全运营

2022-06-23 14:03:26

混合ITCIOIT管理工具

2022-06-09 09:20:40

Linux语言编写代码

2022-06-20 22:37:25

Linux操作系统命令

2022-06-10 07:45:09

CentOS国产操作系统

2022-06-09 09:27:16

前端行业生存

2022-06-09 10:12:01

网络安全人工智能威胁监测

2022-06-06 10:20:59

CPUCPU 使用率CPU 负载

2022-06-16 07:32:38

VSCodePython插件

2022-06-16 16:12:57

网络资产攻击面管理CAASM

2022-06-21 10:04:25

比特币去中心化金融体系

同话题下的热门内容

无线网络安全的12个优秀实践如何避免严重网络安全事故的发生?Google发布《SOC建设指南》,对未来SOC提出新思考六个优秀漏洞管理工具以及它们如何帮助确定威胁的优先级如何做好统一身份认证账号管理及集成?摒弃传统的用户名和密码登录防不胜防?网络钓鱼攻击常用手法盘点与防护建议2022年云计算应用关键威胁调查

编辑推荐

付费成人网站OnlyFans数百名创作者内容泄露,可能有你关注的YouTube博主2019年最近发现的网络安全事件权威解读 | 网络安全等级保护2.0标准体系以及主要标准2019年网络安全事件回顾(国际篇)2019年网络安全事件回顾(国内篇)
我收藏的内容
点赞
收藏

51CTO技术栈公众号