鱼羊 发自 凹非寺
量子位 | 公众号 QbitAI

x86 CPU,危!

一项最新安全研究表明:在一种名为Hertzbleed的攻击方式之下,黑客可以从远程服务器中直接窃取加密密钥。

无论是英特尔还是AMD CPU,都不能幸免。

影响范围大概是酱婶的。

英特尔:全部。

AMD:

研究来自德州大学奥斯汀分校和伊利诺伊大学香槟分校等研究机构,相关论文一经发出便引发热议。

具体怎么一回事,我们一起仔细研究研究。

针对DVFS的攻击

在密码学中,功耗分析是一种早已有之的侧信道攻击方式。

举个例子,通过测量芯片在处理数据时消耗的功率,黑客就能提取出这部分加密数据。

好在功率分析基本上不能远程实现,攻击手段较为有限。

但在Hertzbleed中,研究人员发现,利用动态电压频率缩放(DVFS),电源侧信道攻击就可以被转变成远程攻击!

而DVFS,正是各大厂商目前用来降低CPU功耗的一项重要功能。

具体而言,研究人员在实验中发现,在某些情况下,x86处理器的动态频率缩放取决于正在处理的数据,其颗粒度为毫秒。

这就是说,DVFS引起的CPU频率变化,是可以直接和数据处理功耗挂上钩的。

由于CPU频率的差异可以转换为实际发生时间的差异,通过监控服务器的响应时间,攻击者就能够远程观察到这种变化。

在论文中,研究所人员在运行SIKE(一种加密算法)的服务器上测试了Hertzbleed。

结果显示,在未经优化的攻击版本中,他们分别在36小时和89小时内,完全提取出了Cloudflare加密库CIRCL和微软PQCrypto-SIDH中的全部密钥。

英特尔&AMD:不发补丁了

研究人员表示,他们已在2021年第三季度向英特尔、Cloudflare和微软披露了这项研究。今年第一季度,他们也同AMD进行了沟通。

不过,英特尔和AMD都不打算对此发布补丁。

英特尔安全通信和事件响应高级总监Jerry Bryant认为:

虽然从研究的角度来看这个问题很有趣,但我们认为这种攻击在实验室环境之外并不可行。

英特尔将该漏洞的危害程度定为中等。

但英特尔在公告中也提到:正在发布解决此潜在漏洞的指南。

而微软和Cloudflare方面,则都对加密代码库进行了更新。

研究人员估计,这些更新分别让CIRCL和PQCrypto-SIDH的解封装性能开销增加了5%和11%。

他们提到,禁用频率提升功能,即英特尔的“Turbo Boost”、AMD的“Turbo Core”等,可以缓解Hertzbleed带来的问题,但这会对系统性能产生糟糕的影响。

另外,有意思的一点是,研究人员透露,英特尔虽然没发补丁,但曾要求他们延缓公布调查结果。

参考链接:
[1]https://www.hertzbleed.com/
[2]https://arstechnica.com/information-technology/2022/06/researchers-exploit-new-intel-and-amd-cpu-flaw-to-steal-encryption-keys/

—  —

直播报名 | 阵列光波导:

推动AR眼镜三年内走向消费级市场的显示技术

元宇宙产业的发展,正在将各种前沿领域技术汇集到一起,构建出下一代互联网的新形态。而AR设备,或将成为下一代互联网的“准入级”设备。

消费级AR设备的核心竞争力是什么?AR光学模组的技术原理是什么?其发展现状如何?你的第一副AR设备将会是什么样?6月16日,直播为大家揭晓~

点这里

x86 CPU,危!最新漏洞引发热议,黑客可远程窃取密钥,英特尔“全部处理器”受影响...相关推荐

  1. Lazada官方代运营—Lazada店群商家要“凉凉”,2021年Lazada新政策引发热议

    关于Lazada最近一个新政策引发热议,对于此举最慌张的莫过于店群商家了,不少店群商家表示要"凉凉"..... 没错,从2020.1.26号开始最新入驻的商家需要向平台缴纳3000 ...

  2. Keras将死于谷歌之手?reddit网友写“送葬文”,引发热议

    子豪 发自 凹非寺 量子位 报道 | 公众号 QbitAI Keras一直深受程序员的欢迎,就在几天前,MIT CSAIL刚帮它庆祝了6周岁生日. 然而,一转眼,reddit上却在为它举办" ...

  3. 数学考不过就裁员引发热议 便利蜂创始人回应:体面的生活要靠奋斗

    自上周末,在职场社交平台脉脉上就有自称是便利蜂员工的用户爆料称,便利蜂裁员出新招,要求员工参加数学考试,考试不及格的都开除.数学科目的考试,包括三角函数.空间向量等. 图片来源于微博财经网 此事被多家 ...

  4. 微型计算机如今的cpu,填补x86处理器“大小核心”的空白,英特尔Lakefield处理器简析...

    如何设计一颗更好.更节能.更适合移动设备使用的处理器,一直以来都是芯片厂商最为关注的问题之一.在ARM架构中,ARM推出了诸如"big.LIT TLE"以及现在被称作DynamIQ ...

  5. 从垃圾分类到边缘计算,九州云乌镇专题研讨会引发热议

    7月6日下午,由ITSS数据中心运营管理工作组(DCMG)和双态IT联盟(BOA)主办.九州云出品的"边缘计算研讨会"在乌镇成功举办.本次研讨会从时下最热门的话题--上海的垃圾分类 ...

  6. TX2是ARM平台CPU比较弱,GAAS开发人员喜欢用up squared,英特尔官方说是应用intel realsense技术最佳选择

    后来发现GAAS有专门一篇文章讲这个,可见他们是认真的. 我在博文里有转载 https://blog.csdn.net/sinat_16643223/article/details/107873419 ...

  7. Apache日志记录组件Log4j出现反序列化漏洞 黑客可以执行任意代码 所有2.x版本均受影响...

    开源的东西用的人多了,自然漏洞就多.Apache用于日志记录的组件Log4j使用非常灵活,在相当多的开源项目中都有使用,此次漏洞影响所有Apache Log4j 2.*系列版本: Apache Log ...

  8. 大脑只需单个神经元就可进行XOR异或运算,Science新研究揭开冰山一角,引发热议...

    边策 赖可 发自 凹非寺 量子位 报道 | 公众号 QbitAI 在机器学习中,异或(XOR)这样的非线性问题一直需要多层神经网络来解决.科学家一直以为,即使在人类大脑中,XOR运算也需要多层神经元网 ...

  9. ICML 2021文章引发热议:矩阵乘法无需相乘,速度提升100倍

    ©作者 | Synced 来源 | 机器之心 在一篇被 ICML 2021 接收的论文中,MIT 的一位计算机科学博士生及其业界大佬导师为矩阵乘法引入了一种基于学习的算法,该算法具有一个有趣的特性-- ...

最新文章

  1. mysql dba系统学习(10)innodb引擎的redo log日志的原理 mysql dba系统学习(11)管理innodb引擎的redo log日志的一个问题
  2. VC调用matlab中定义的.m文件中的函数的实例
  3. 【收藏】机器学习入门的常见问题集(文末送书)
  4. java 调用.net webservice axis2_java利用axis2调用.net写的webservice,传递自定义的实体类参数...
  5. linux nc命令测试端口,Linux和Windows下的NC(Netcat)命令测试端口连通性
  6. Dell做RAID配置图文全教程
  7. ESP8266-01/01S配对阿里云生活物联网教程(超详细)
  8. jQuery EasyUI简明教程
  9. 模块已加载但找不到入口点dllregisterserver
  10. C#语言与三菱PLC串口通讯
  11. 我的时间管理类培训PPT
  12. 铁甲小宝像车轮的是什么机器人_铁甲小宝里的机器人都叫什么名字啊
  13. 软件测试教学实训平台
  14. 转载:optparse模块OptionParser学习
  15. 7. 模糊操作/原理/API/种类/边缘保留
  16. Ubuntu——终端多窗口分屏工具Terminator
  17. eBPF/XDP实现Conntrack功能
  18. 什么是restful?说说你对restful的理解
  19. 4号线地铁站点列表_北京地铁4号线线路图 4号线地铁站点列表
  20. VSCode 安装NPM

热门文章

  1. CSS 设置p标签首字母格式
  2. python图片切割导入excel_python处理excel中的图片-裁剪
  3. python批量替换word文字
  4. EmEditor和腾讯桌面冲突临时解决方案
  5. 电机 输送机 机械手 提升机 发酵罐 减速机 破碎机
  6. mysql查询数据会不会锁表_mysql select是否会锁表 ?
  7. UVA1589 象棋 + UVA 220 黑白棋
  8. 数据可视化笔记2 视觉感知、认知与色彩(韦伯定律、格式塔理论、色彩空间、配色工具和网站)
  9. PMP项目管理考试?PMP认证
  10. 初次上课的感想!!!!