Hertzbleed
 Logo przedstawiające Hertzbleeda
| |
| Identyfikator(y) CVE | CVE - 2022-24436 (Intel), CVE - 2022-24436 (AMD) |
|---|---|
| Data odkryta | Ujawnione publicznie 14 czerwca 2022 r |
| Poprawiona data | Nie planowano patcha |
| Sprzęt, którego dotyczy problem | Procesory używające DVFS |
| Strona internetowa | |
Hertzbleed to sprzętowy atak bezpieczeństwa, który opisuje wykorzystanie dynamicznego skalowania częstotliwości w celu ujawnienia tajnych danych. Atak jest rodzajem ataku czasowego , noszącego podobieństwo do poprzednich luk w analizie mocy . Hertzbleed jest bardziej niebezpieczny niż analiza mocy, ponieważ może zostać wykorzystany przez zdalnego atakującego. Głównym problemem związanym z exploitem jest ujawnienie kluczy kryptograficznych .
Exploit został zweryfikowany pod kątem działania przeciwko procesorom Intela i AMD , a poradnik bezpieczeństwa Intela stwierdza, że dotyczy to wszystkich procesorów Intela. Istnieją inne procesory wykorzystujące skalowanie częstotliwości, ale atak nie został na nich przetestowany.
Ani Intel, ani AMD nie planują wypuścić łatek do mikrokodu , zamiast tego zalecają wzmocnienie bibliotek kryptograficznych przed luką.
Mechanizm
Normalne ataki czasowe są łagodzone przy użyciu programowania w czasie stałym, co zapewnia, że każda instrukcja trwa tak samo długo, niezależnie od danych wejściowych. Hertzbleed łączy atak czasowy z atakiem analizy mocy. Atak wykorzystujący analizę zasilania mierzy zużycie energii przez procesor, aby wywnioskować, jakie dane są przetwarzane. Wymaga to jednak od atakującego możliwości zmierzenia zużycia energii.
Hertzbleed wykorzystuje różnice czasu wykonania spowodowane dynamicznym skalowaniem częstotliwości, funkcją procesora, która zmienia częstotliwość procesora, aby utrzymać ograniczenia zużycia energii i temperatury. Ponieważ częstotliwość procesora zależy od zużycia energii, które z kolei zależy od danych, osoba atakująca zdalnie może wydedukować przetwarzane dane na podstawie czasu wykonania. W ten sposób Hertzbleed skutecznie omija programowanie w czasie stałym, które nie uwzględnia zmian częstotliwości procesora.