Intel ve AMD’den gelen çiplerin yanı sıra diğer üreticilerin işlemcileri, tehdit aktörlerinin kriptografik anahtarları ve diğer verileri doğrudan uç noktadan çalmasına izin verebilecek yeni bir saldırı türüne karşı hassas olabilir. (yeni sekmede açılır) donanım.
Illinois Urbana-Champaign Üniversitesi’nden Riccardo Paccagnella da dahil olmak üzere bir güvenlik araştırmacıları ekibi, veri işleme sırasında tüketilen gücü ölçerek bir çipten kriptografik veri çıkarma fikrini araştırmaya başladı. Güç tüketimini uzaktan ölçememe nedeniyle pratikte geçersiz olduğu kanıtlanmış nispeten eski bir teori.
Ancak araştırmacılar, saldırıyı farklı türde bir yan kanal istismarına dönüştürerek fikre yeni bir yön vermeyi başardılar ve bu çok daha uygulanabilir.
Intel kusuru oynuyor
Görünen o ki, dinamik voltaj ve frekans ölçekleme (DVFS) aracılığıyla saldırganlar, sunucunun belirli sorgulara yanıt vermesi için geçen süreyi izleyerek güç tüketimindeki değişiklikleri etkin bir şekilde tespit etmelerine olanak tanıyor. Araştırmacılar, bunun nispeten basit bir şey olduğunu söyledi. Güvenlik açığına Hertzbleed adını verdiler ve o zamandan beri Intel cihazları için CVE-2022-24436 ve AMD için CVE-2022-23823 olarak izleniyor.
8. nesilden 11. nesile kadar Intel yongalarına yönelik saldırıyı başarılı bir şekilde yeniden üretmeyi başarırken, bunun Xeon ve Ryzen yongaları üzerinde de çalıştığını söylüyorlar.
Ancak Intel bunların hiçbirine sahip değil. Bulgulara yanıt olarak, şirketin Güvenlik İletişimi ve Olay Müdahale Kıdemli Direktörü Jerry Bryant, fikrin laboratuvar dışında pratik olmadığını yazdı.
“Bu konu araştırma açısından ilginç olsa da, bu saldırının laboratuvar ortamı dışında pratik olduğuna inanmıyoruz. Ayrıca, güç yan kanal saldırılarına karşı güçlendirilmiş kriptografik uygulamaların bu soruna karşı savunmasız olmadığını unutmayın.”
Çip üreticileri çiplerini güncellemeyecekler, Ars Teknik bulundu ve bunun yerine Microsoft ve Cloudflare’nin PQCrypto-SIDH ve CIRCL şifreleme kod kitaplıklarında yaptığı değişiklikleri onaylayacak.
Aracılığıyla: Ars Teknik (yeni sekmede açılır)
