x86 CPU,危!最新漏洞引发热议,黑客可远程窃取密钥,英特尔“全部处理器”受影响...
鱼羊 发自 凹非寺
量子位 | 公众号 QbitAI
x86 CPU,危!
一项最新安全研究表明:在一种名为Hertzbleed的攻击方式之下,黑客可以从远程服务器中直接窃取加密密钥。
无论是英特尔还是AMD CPU,都不能幸免。
影响范围大概是酱婶的。
英特尔:全部。
AMD:
研究来自德州大学奥斯汀分校和伊利诺伊大学香槟分校等研究机构,相关论文一经发出便引发热议。
具体怎么一回事,我们一起仔细研究研究。
针对DVFS的攻击
在密码学中,功耗分析是一种早已有之的侧信道攻击方式。
举个例子,通过测量芯片在处理数据时消耗的功率,黑客就能提取出这部分加密数据。
好在功率分析基本上不能远程实现,攻击手段较为有限。
但在Hertzbleed中,研究人员发现,利用动态电压频率缩放(DVFS),电源侧信道攻击就可以被转变成远程攻击!
而DVFS,正是各大厂商目前用来降低CPU功耗的一项重要功能。
具体而言,研究人员在实验中发现,在某些情况下,x86处理器的动态频率缩放取决于正在处理的数据,其颗粒度为毫秒。
这就是说,DVFS引起的CPU频率变化,是可以直接和数据处理功耗挂上钩的。
由于CPU频率的差异可以转换为实际发生时间的差异,通过监控服务器的响应时间,攻击者就能够远程观察到这种变化。
在论文中,研究所人员在运行SIKE(一种加密算法)的服务器上测试了Hertzbleed。
结果显示,在未经优化的攻击版本中,他们分别在36小时和89小时内,完全提取出了Cloudflare加密库CIRCL和微软PQCrypto-SIDH中的全部密钥。
英特尔&AMD:不发补丁了
研究人员表示,他们已在2021年第三季度向英特尔、Cloudflare和微软披露了这项研究。今年第一季度,他们也同AMD进行了沟通。
不过,英特尔和AMD都不打算对此发布补丁。
英特尔安全通信和事件响应高级总监Jerry Bryant认为:
虽然从研究的角度来看这个问题很有趣,但我们认为这种攻击在实验室环境之外并不可行。
英特尔将该漏洞的危害程度定为中等。
但英特尔在公告中也提到:正在发布解决此潜在漏洞的指南。
而微软和Cloudflare方面,则都对加密代码库进行了更新。
研究人员估计,这些更新分别让CIRCL和PQCrypto-SIDH的解封装性能开销增加了5%和11%。
他们提到,禁用频率提升功能,即英特尔的“Turbo Boost”、AMD的“Turbo Core”等,可以缓解Hertzbleed带来的问题,但这会对系统性能产生糟糕的影响。
另外,有意思的一点是,研究人员透露,英特尔虽然没发补丁,但曾要求他们延缓公布调查结果。
参考链接:
[1]https://www.hertzbleed.com/
[2]https://arstechnica.com/information-technology/2022/06/researchers-exploit-new-intel-and-amd-cpu-flaw-to-steal-encryption-keys/
— 完 —
直播报名 | 阵列光波导:
推动AR眼镜三年内走向消费级市场的显示技术
元宇宙产业的发展,正在将各种前沿领域技术汇集到一起,构建出下一代互联网的新形态。而AR设备,或将成为下一代互联网的“准入级”设备。
消费级AR设备的核心竞争力是什么?AR光学模组的技术原理是什么?其发展现状如何?你的第一副AR设备将会是什么样?6月16日,直播为大家揭晓~
点这里
关于Lazada最近一个新政策引发热议,对于此举最慌张的莫过于店群商家了,不少店群商家表示要"凉凉"..... 没错,从2020.1.26号开始最新入驻的商家需要向平台缴纳3000 ... 子豪 发自 凹非寺 量子位 报道 | 公众号 QbitAI Keras一直深受程序员的欢迎,就在几天前,MIT CSAIL刚帮它庆祝了6周岁生日. 然而,一转眼,reddit上却在为它举办" ... 自上周末,在职场社交平台脉脉上就有自称是便利蜂员工的用户爆料称,便利蜂裁员出新招,要求员工参加数学考试,考试不及格的都开除.数学科目的考试,包括三角函数.空间向量等. 图片来源于微博财经网 此事被多家 ... 如何设计一颗更好.更节能.更适合移动设备使用的处理器,一直以来都是芯片厂商最为关注的问题之一.在ARM架构中,ARM推出了诸如"big.LIT TLE"以及现在被称作DynamIQ ... 7月6日下午,由ITSS数据中心运营管理工作组(DCMG)和双态IT联盟(BOA)主办.九州云出品的"边缘计算研讨会"在乌镇成功举办.本次研讨会从时下最热门的话题--上海的垃圾分类 ... 后来发现GAAS有专门一篇文章讲这个,可见他们是认真的. 我在博文里有转载 https://blog.csdn.net/sinat_16643223/article/details/107873419 ... 开源的东西用的人多了,自然漏洞就多.Apache用于日志记录的组件Log4j使用非常灵活,在相当多的开源项目中都有使用,此次漏洞影响所有Apache Log4j 2.*系列版本: Apache Log ... 边策 赖可 发自 凹非寺 量子位 报道 | 公众号 QbitAI 在机器学习中,异或(XOR)这样的非线性问题一直需要多层神经网络来解决.科学家一直以为,即使在人类大脑中,XOR运算也需要多层神经元网 ... ©作者 | Synced 来源 | 机器之心 在一篇被 ICML 2021 接收的论文中,MIT 的一位计算机科学博士生及其业界大佬导师为矩阵乘法引入了一种基于学习的算法,该算法具有一个有趣的特性-- ...x86 CPU,危!最新漏洞引发热议,黑客可远程窃取密钥,英特尔“全部处理器”受影响...相关推荐
最新文章
热门文章