En ny familie av side-channel CPU-utnyttelser har blitt oppdaget. Forskere kaller det Hertzbleed, og teoretisk sett kan det påvirke hvem som helst, men stort sett er det kryptografiingeniører som må være på vakt.
Det har faktisk vært en del debatt fra Intel om hvorvidt det er en praktisk trussel for folk flest. Av den grunn har selskapet besluttet å ikke lappe den, til tross for at de har bedt om en lengre embargo før forskningen skulle publiseres.
Vi har dekket sidekanalangrep før, som f.eks Spektre og smelting CPU-utnyttelser, men denne er en helt ny kjele med fisk (via IFL Science).
De forskning papir (PDF-advarsel) går gjennom prosessen deres med å avsløre sårbarheten. Den viser at kraftsidekanalangrep kan gjøres om til timingangrep, noe som betyr at hackere kan analysere tiden din CPU bruker på å utføre kryptografiske algoritmer og bruke det mot deg.
Siden dynamisk frekvensskalering i en CPU avhenger av dataene som behandles, er det mulig å bruke frekvensvariasjonene i moderne Intel og AMD x86 CPUer til å lekke fullstendige kryptografiske nøkler via ekstern timing. I hovedsak kan signaturene igjen av CPU-ens frekvensklokke gi den bort. Det faktum at dette til og med kunne utføres eksternt var en stor bekymring for forskerne.
Den medfølgende rapporterer uttaler på forhånd at "I verste fall kan disse angrepene tillate en angriper å trekke ut kryptografiske nøkler fra eksterne servere som tidligere ble antatt å være sikre."
Etter å ha blitt informert om de potensielle farene - som forskerne bemerker "er betydelige" - sa Intel at "Selv om dette problemet er interessant fra et forskningsperspektiv, tror vi ikke at dette angrepet er praktisk utenfor et laboratoriemiljø." Det er ifølge Intel Senior Director for Security Communications and Incident Response, Jerry Bryant, og det er hovedårsaken til at selskapet ikke planlegger å lappe det.
Forskningen selv støtter dette ved at "Til tross for sin teoretiske kraft, er det ikke åpenbart hvordan man konstruerer praktiske utnyttelser gjennom frekvenssidekanalen."
Vi spurte Intel hvorfor de ba om en lengre embargo før forskningen ble publisert, til tross for mangelen på planer om å presse en oppdatering ut, og ble henvist til et nylig innlegg som inneholder veiledning om hvordan man kan redusere sidekanalangrepene.
Beste CPU for spill: Toppbrikkene fra Intel og AMD
Beste gaming hovedkort: De riktige brettene
Beste grafikkort: Din perfekte piksel-pusher venter
Beste SSD for spill: Kom inn i spillet foran resten
Intel satte seg nylig ned med forskerne for å hash ut problemet, og når de blir spurt om deaktivering av Turbo Boost kan hjelpe, bemerker selskapet "Den strupende sidekanalen er forårsaket av struping når systemkraft/strøm treffer en viss reaktiv grense, uavhengig av om turboboost er aktivert eller ikke."
Tilbake i 2020 bestemte Intel seg for å gjøre det forbedre CPU-sikkerheten for å beskytte mot sidekanalangrep, men nye teknikker for å dekryptere personopplysninger blir mer ekstravagante for hver dag som går. Derfor er det viktig for store selskaper som dette å legge merke til forskere, og finne måter å dempe angrep på før de kan skje.
Intel delte også sine funn med andre silisiumleverandører, antagelig AMD og lignende, slik at andre også kunne få tak i det.
- "
- 2020
- a
- Ifølge
- påvirke
- mot
- fremover
- algoritmer
- analysere
- noen
- før du
- være
- saken
- forårsaket
- viss
- chips
- klokke
- kommunikasjon
- Selskaper
- Selskapet
- kunne
- kreditt
- kryptografisk
- kryptografi
- dato
- dag
- debatt
- besluttet
- avhenger
- beskrivelse
- Til tross for
- Regissør
- oppdaget
- ned
- dynamisk
- Ingeniører
- Miljø
- hovedsak
- exploits
- familie
- fra
- foran
- fullt
- framtid
- spill
- gaming
- få
- grafikk
- hack
- hackere
- håndtere
- hash
- å ha
- hjelpe
- Hvordan
- Hvordan
- HTTPS
- bilde
- viktig
- informert
- Intel
- utstedelse
- IT
- selv
- nøkler
- lab
- stor
- lekke
- BEGRENSE
- betyr
- kunne
- mer
- mest
- neste
- Merknader
- Åpenbare
- Annen
- patch
- Ansatte
- perfekt
- personlig
- personlig informasjon
- perspektiv
- planer
- mulig
- potensiell
- makt
- prosess
- beskytte
- publisert
- nylig
- nylig
- fjernkontroll
- forskning
- forskere
- svar
- Sa
- skalering
- sikre
- sikkerhet
- delt
- signifikant
- Silicon
- So
- noen
- Stater
- system
- teknikker
- De
- Gjennom
- tid
- topp
- bruke
- leverandører
- sårbarhet
- måter
- om
- mens
- ville
- Din
