英特尔的安全公告指出,所有英特尔处理器都会受到影响。我们通过实验证实了多个英特尔处理器受到影响,包括从第 8 代到第 11 代酷睿微架构的台式机和笔记本电脑型号。
AMD 的安全公告称,他们的一些台式机、移动和服务器处理器受到影响。我们通过实验证实 AMD Ryzen 处理器受到影响,包括来自 Zen 2 和 Zen 3 微架构的台式机和笔记本电脑型号。
其他处理器供应商(例如,ARM)也在他们的产品中实现了频率缩放,并意识到了 Hertzbleed。但是,我们尚未确认他们是否受到 Hertzbleed 的影响。
Hertzbleed 的影响是什么?
首先,Hertzbleed 表明,在现代 x86 CPU 上,功率侧信道攻击可以转变为(甚至是远程!)定时攻击,从而消除对任何功率测量接口的需求。原因是,在某些情况下,周期性的 CPU 频率调整取决于当前的 CPU 功耗,这些调整直接转化为执行时间差异(如 1 赫兹 = 1 个周期每秒)。
其次,Hertzbleed 表明,即使正确实施为常数时间,密码代码仍然可以通过远程时序分析泄漏。结果是当前关于如何编写恒定时间代码的行业指南(例如英特尔的)不足以保证在现代处理器上的恒定时间执行。
应该担心吗?
如果是普通用户而不是密码学工程师,可能不需要:现在不需要应用补丁或更改任何配置。如果是密码学工程师,如果正在运行 SIKE 解封装服务器,请确保部署下面描述的缓解措施。
Hertzbleed 是否有分配的 CVE?
是的。Hertzbleed 在通用漏洞和暴露 (CVE) 系统中的 CVE-2022-23823 和 CVE-2022-24436 下被跟踪。
Hertzbleed 是 bug 吗?
不是。Hertzbleed 的根本原因是动态频率缩放,是现代处理器的一项功能,用于降低功耗(在低 CPU 负载期间)并确保系统保持在功率和热限制以下(在高 CPU 负载期间)。
什么时候披露 Hertzbleed 的?
2021 年第三季度英特尔、Cloudflare 和微软收到的调查结果以及概念验证代码,并在 2022 年第一季度向 AMD 披露了调查结果。英特尔最初要求将调查结果禁运至 2022 年 5 月 10 日。后来,英特尔要求该禁令显着延长,于 2022 年 6 月 14 日公开披露我们的调查结果。
英特尔和 AMD 是否计划发布微码补丁来缓解 Hertzbleed?
不会。英特尔和 AMD 不打算部署任何微码补丁来缓解 Hertzbleed。但是,英特尔提供了缓解软件中 Hertzbleed 的指南。加密开发人员可以选择遵循英特尔的指导来强化他们的库和应用程序以对抗 Hertzbleed。
有解决方法吗?
从技术上讲,是的。但是,会对整个系统的性能产生重大影响。
在大多数情况下,缓解 Hertzbleed 的与工作负载无关的解决方法是禁用频率提升。英特尔将此功能称为“Turbo Boost”,AMD 将其称为“Turbo Core”或“Precision Boost”。可以通过 BIOS 或在运行时通过频率缩放驱动程序禁用频率提升。在实验中,当频率提升被禁用时,频率在工作负载执行期间保持固定在基本频率,防止通过 Hertzbleed 泄漏。但是,这不是推荐的缓解策略,因为它会显着影响性能。此外,在某些自定义系统配置(具有降低的功率限制)中,即使禁用了频率提升,也可能会发生与数据相关的频率更新。
SIKE (Supersingular Isogeny Key Encapsulation) 是一个有十年历史的、被广泛研究的密钥封装机制。它目前是 NIST 的后量子密码学竞赛的决赛选手。它具有多种工业实现,并且是野外部署实验的主题。它声称的优势之一是“易于理解”的侧通道姿势。
什么是密钥封装机制?
密钥封装机制是一种协议,用于使用非对称(公钥)密码术安全地交换对称密钥。
Cloudflare 和微软如何缓解对 SIKE 的攻击?
Cloudflare 和 Microsoft 都部署了De Feo 等人建议的缓解措施。缓解包括在解封装之前验证密文由一对正确顺序的线性独立点组成。缓解措施为 CIRCL 增加了 5% 的解封装性能开销,为 PQCrypto-SIDH 增加了 11% 的解封装性能开销。
恒定时间密码库是否受到影响?
可能是的。
如果恒定时间加密库容易受到与秘密相关的电源泄漏的影响,那么这种泄漏可能会扩展到足够多的操作,从而导致 CPU 频率发生与秘密相关的变化。未来的工作需要系统地研究可以通过新的 Hertzbleed 侧信道利用哪些密码系统。
原文始发于微信公众号(祺印说信安):新的 Hertzbleed 侧信道攻击影响所有现代x86 CPU
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论