image

Lek in Intel- en AMD-processors maakt diefstal encryptiesleutels mogelijk

woensdag 15 juni 2022, 11:48 door Redactie, 6 reacties

Een kwetsbaarheid in processoren van AMD en Intel maakt het mogelijk voor aanvallers om op afstand vertrouwelijke informatie zoals encryptiesleutels te stelen. De onderzoekers die Hertzbleed ontdekten, zoals de kwetsbaarheid wordt genoemd, noemen het een "echte en praktische dreiging" voor de veiligheid van cryptografische software. Volgens Intel is de aanval interessant, maar niet praktisch om buiten een laboratoriumomgeving uit te voeren. Zowel AMD als Intel hebben advisories uitgebracht en adviseren ontwikkelaars van cryptografische libraries om maatregelen te nemen. Beide chipfabrikanten zijn voor zover bekend niet van plan om microcode-patches uit te brengen.

Het is al geruime tijd bekend dat aanvallers door het monitoren van het stroomverbruik van een systeem geheime informatie kunnen achterhalen. Onderzoekers van verschillende Amerikaanse universiteiten hebben nu een manier gevonden waarbij ze een feature van moderne processors, met de naam dynamic frequency scaling, gebruiken om op afstand een timing-aanval uit te voeren waarmee diefstal van bijvoorbeeld encryptiesleutels mogelijk is.

Dynamic voltage and frequency scaling (DVFS) is een techniek voor het dynamisch aanpassen van de cpu-frequentie om zo het stroomverbruik te verminderen als de processor niet wordt belast en ervoor te zorgen dat het systeem tijdens een zware belasting onder de stroom- en warmtelimiet blijft. Net als met andere taken verandert het energieverbruik tijdens het uitvoeren van cryptografische operaties. Een aanvaller kan informatie over het energieverbruik vervolgens gebruiken voor een timing-aanval en zo vertrouwelijke informatie stelen.

De benodigde informatie voor het uitvoeren van de aanval is op afstand uit te lezen, zonder dat hiervoor een specifieke "power measurement interface" voor is vereist. De onderzoekers hebben hun aanval gedemonstreerd tegen een server die van SIKE gebruikmaakt, een cryptografisch algoritme dat wordt gebruikt voor het vaststellen van een secret key tussen twee partijen over een onveilig communicatiekanaal. Via de aanval lukte het de onderzoekers om de encryptiesleutel van de server te stelen.

De onderzoekers informeerden Intel, Microsoft en Cloudflare in het derde kwartaal van vorig jaar over de kwetsbaarheid. AMD werd in het eerste kwartaal van dit jaar ingelicht. Intel had de onderzoekers gevraagd om de bevindingen op 10 mei te openbaren, maar de chipgigant vroeg vervolgens om die datum te verschuiven naar 14 juni.

De impact van Hertzbleed is op een schaal van 1 tot en met 10 beoordeeld met een 6.3 en heeft volgens Intel een medium impact. De onderzoekers doen wel verschillende aanbevelingen om de aanval te voorkomen, maar dit kan grote gevolgen voor de prestaties van de processor hebben. Cryptografische implementaties die al maatregelen tegen power side-channel-aanvallen hebben genomen zijn niet kwetsbaar. Verder hebben Cloudflare en Microsoft mitigaties doorgevoerd om de aanval tegen SIKE te voorkomen.

Image

Reacties (6)
15-06-2022, 12:12 door [Account Verwijderd]
Here we go again...
15-06-2022, 12:49 door Anoniem
Door Rexodus: Here we go again...

Bedoel "groot probleem" of "researchers pimpen een laboratorium vondst tot Groot Probleem Om Te Shinen"
15-06-2022, 13:49 door Anoniem
Meltdown and Spectre

Ligt al weer jaren achter ons,en systemen
met deze kwetsbaarheid zijn zeker nog online,
want niet alle intel processoren van intel en amd werden
of konden worden gepatch.

The Matrix
15-06-2022, 15:01 door Anoniem
Door Anoniem:
Door Rexodus: Here we go again...

Bedoel "groot probleem" of "researchers pimpen een laboratorium vondst tot Groot Probleem Om Te Shinen"

https://www.intel.com/content/www/us/en/developer/articles/technical/software-security-guidance/technical-documentation/frequency-throttling-side-channel-guidance.html : "Conditions of the Attack"

Intel lijkt het zelf ook wel iets meer dan een "laboratorium vondst" te vinden.
15-06-2022, 16:49 door Anoniem
Door Anoniem:
Door Anoniem:
Door Rexodus: Here we go again...

Bedoel "groot probleem" of "researchers pimpen een laboratorium vondst tot Groot Probleem Om Te Shinen"

https://www.intel.com/content/www/us/en/developer/articles/technical/software-security-guidance/technical-documentation/frequency-throttling-side-channel-guidance.html : "Conditions of the Attack"

Intel lijkt het zelf ook wel iets meer dan een "laboratorium vondst" te vinden.

Leer nou eens dat URL tags bestaan . Tussen vierkante haken het woord URL, dan de URL dan weer tussen vierkante haken ( [/url] )

https://www.intel.com/content/www/us/en/developer/articles/technical/software-security-guidance/technical-documentation/frequency-throttling-side-channel-guidance.html

Maak iedereen eens wijzer, en haal uit die URL wat een aanvaller nou precies nodig aan mogelijkheden en wat die aanvaller dan kan bereiken.

Je samenvatting "Intel ziet er wat meer in" is wel heel handwavy .
16-06-2022, 10:03 door Anoniem
Daarom is de slogan ook' intel inside' en niet "intel outside".
Ze gaan de mens ook hacken of zijn er al ver mee. Hoop alleen niet op zo'n manier.
De meeste mensen hoeven ook niet meer aan hun smart device gekoppeld te worden,
die zijn al "overgenomen". (ironisch bedoeld).
Digitaliseren of is het eigenlijk en feitelijk "egaliseren"?
#observator
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.