Researcher entdeckten eine Schwachstelle in den CPUs von Intel und AMD. Kriminellen könnten über die Sicherheitslücke an kryptografische Schlüssel gelangen.
Nach Angaben von Forschern der University of Texas Austin, der University of Illinois und der University of Washington könnte eine “Hertzbleed” genannte CPU-Schwachstelle “Side-Channel-Attacken” ermöglichen. Kriminelle könnten damit deine Krypto-Keys stehlen.
Betroffen sind CPUs der beiden Chip-Giganten Intel und AMD. Dazu gehören Intel-Desktop- und Laptop-Modelle der achten bis elften Generation der Core-Mikroarchitektur und AMD Ryzen-Chips der Desktop- und Laptop-Modelle der Mikroarchitekturen Zen 2 und Zen 3.
Tom’s Hardware meldete die Sicherheitslücke. Sowohl Intel als auch AMD haben Empfehlungen zu diesem Problem herausgegeben.
Hertzbleed Attacke
Hertzbleed ist eine neue Art eines Side-Channel-Angriffs, der als Frequency Side Channel bezeichnet wird (daher der Name Hertz und das Ausbluten der Daten). In dem Research Paper zu diesem Ansatz heißt es:
“Im schlimmsten Fall können diese Angriffe einem Angreifer ermöglichen, kryptografische Schlüssel von entfernten Servern zu extrahieren, die zuvor als sicher galten.”
Bei einem Hertzbleed-Angriff beobachten Kriminelle die Leistungssignatur eines kryptografischen Workloads und nutzen diese zum Stehlen der Daten. Diese Leistungssignatur variiert aufgrund der dynamischen Boost-Taktfrequenzanpassungen der CPU während des Workloads, berichtet Tom’s Hardware.
Die Dynamische Spannungs- und Frequenzskalierung (Dynamic Voltage and Frequency Scaling, DVFS) ist eine Funktion moderner Prozessoren, die zur Senkung des Stromverbrauchs eingesetzt wird. Es handelt sich bei der Sicherheitslücke also nicht um einen Bug. Angreifer können die Änderungen im Stromverbrauch nachvollziehen, indem sie die Zeit überwachen, die ein Server benötigt, um auf bestimmte Anfragen zu reagieren.
“Hertzbleed ist eine reale und praktische Bedrohung für die Sicherheit von kryptografischer Software”, so die Forscher.
Im Jahr 2020 berichteten wir bereits über die Entdeckung einer Schwachstelle in Intels SGX (Software Guard Extension), die ebenfalls zu Seitenkanalangriffen und kompromittierten Krypto-Keys führen könnte.
Gibt es eine Lösung?
Intel und AMD haben derzeit keine Pläne, Firmware-Patches zur Entschärfung des Hertzbleed-Problems bereitzustellen. Es gibt jedoch bereits Lösungen für das Problem.
Laut den Chip-Herstellern kann Hertzbleed durch die Deaktivierung der Frequenzerhöhung umgangen werden. Bei Intel-CPUs wird diese Funktion als “Turbo Boost” bezeichnet, bei AMD-Chips als “Turbo Core” oder “Precision Boost”. Dies dürfte sich jedoch auf die Leistung des Prozessors auswirken, hieß es.
Laut Jerry Bryant, Senior Director of Security Communications and Incident Response bei Intel, ist dieser Angriff außerhalb einer Laborumgebung nicht praktikabel. Unter anderem, weil es “Stunden bis Tage” dauern würde, einen kryptografischen Schlüssel zu stehlen. Bryant fügte hinzu, dass “kryptografische Implementierungen, die gegen Side-Channel-Hacks, die auf die Stromversorgung abzielen, abgesichert sind, für dieses Problem nicht anfällig sind“.
Haftungsausschluss
In Übereinstimmung mit den Richtlinien des Trust Project verpflichtet sich BeInCrypto zu einer unvoreingenommenen, transparenten Berichterstattung. Dieser Artikel zielt darauf ab, genaue und aktuelle Informationen zu liefern. Den Lesern wird jedoch empfohlen, die Fakten unabhängig zu überprüfen und einen Fachmann zu konsultieren, bevor sie auf der Grundlage dieses Inhalts Entscheidungen treffen.