Modern Intel ve AMD işlemcilerde yeni keşfedilen bir güvenlik açığı, uzak saldırganların bir güç tarafı kanal saldırısı yoluyla şifreleme anahtarlarını çalmasına izin verebilir.
dublajlı Hertzbleed Texas Üniversitesi, Illinois Üniversitesi Urbana-Champaign ve Washington Üniversitesi’nden bir grup araştırmacı tarafından, sorunun kökleri dinamik voltaj ve frekans ölçeklendirmesinden kaynaklanmaktadır (DVFS), gücü korumak ve bir çip tarafından üretilen ısı miktarını azaltmak için kullanılan güç ve termal yönetim özelliği.
Araştırmacılar, “Nedeni, belirli koşullar altında, periyodik CPU frekans ayarlamalarının mevcut CPU güç tüketimine bağlı olması ve bu ayarlamaların doğrudan yürütme süresi farklılıklarına dönüşmesidir (1 hertz = saniyede 1 döngü olarak),” dedi.
Bu, doğru bir şekilde uygulandığında bile kriptografik kitaplıklar üzerinde önemli güvenlik etkilerine sahip olabilir. sabit zamanlı kod zamanlamaya dayalı yan kanalları önlemek, bir saldırganın kriptografik anahtarlar gibi hassas bilgileri çıkarmak için yürütme süresi değişikliklerinden etkili bir şekilde yararlanmasını sağlamak.
Hem AMD (CVE-2022-23823) ve Intel (CVE-2022-24436) bulgulara yanıt olarak bağımsız tavsiyeler yayınladılar ve ikincisi tüm Intel işlemcilerin Hertzbleed’den etkilendiğini belirtti. Hiçbir yama kullanıma sunulmadı.
AMD, “Açıklık, güç analizine dayalı yan kanal sızıntılarına sahip bir kriptografik algoritmayı etkilediğinden, geliştiriciler algoritmanın yazılım koduna karşı önlemler uygulayabilir. Saldırıyı azaltmak için maskeleme, gizleme veya anahtar döndürme kullanılabilir.”
Zayıflığı gidermek için herhangi bir düzeltme eki sunulmamış olsa da, Intel önerilen kriptografik geliştiriciler takip eder rehberlik kitaplıklarını ve uygulamalarını frekans azaltan bilgi ifşasına karşı güçlendirmek.
Bu, Intel işlemcilerden veri sifonlamak için ortaya çıkarılan ilk yeni yöntemler değil. Mart 2021’de, Hertzbleed’in iki ortak yazarı, Intel Coffee Lake ve Skylake işlemcilerinde kullanılan halka ara bağlantısını hedef alan “yonga üzerinde, çapraz çekirdekli” bir yan kanal saldırısı gösterdi.
Araştırmacılar, “Sabit zamanlı kodun nasıl yazılacağına ilişkin mevcut kriptografik mühendislik uygulamalarının, yazılımın modern, değişken frekanslı işlemcilerde sabit zamanlı olarak yürütülmesini garanti etmek için artık yeterli olmadığı,” dedi.