Hlavní navigace

Hertzbleed, nová zranitelnost CPU od AMD a Intel

15. 6. 2022

Sdílet

Intel CPU procesor Autor: Depositphotos

Nově objevená zranitelnost procesorů od AMD a Intelu, která k prolomení šifrovacích algoritmů využívá specifické vlastnosti dynamického škálování frekvencí moderních CPU, dostala jméno Hertzbleed a vlastní domovskou stránku. Jde o prakticky použitelnou techniku, která je hrozbou pro veškerý kryptografický software, přičemž využívá novátorský útok proti SIKE (Supersingular Isogeny Key Encapsulation) k plné extrakci klíče za pomoci vzdáleného časování, navzdory tomu, že SIKE je implementován v konstantním čase.

Tento útok víceméně navazuje na dříve popsané koncepty využívající poměrně přesná interní měření spotřeby částí CPU. Za určitých okolností pracuje s periodicky se opakujícími změnami frekvencí CPU jader v závislosti an jejich aktuální spotřebě, kde tyto měnící se hodnoty přepočítává na měnící se hodnoty frekvenci (odsud hertz v názvu). Jinými slovy: současná doporučení na psaní kryptograficky bezpečného kódu tak, že probíhá v konstantním čase, nejsou při běhu kódu na moderních CPU dostatečná.

Chyba dostala CVE-2022–24436 a závažnost je vyhodnocena jako 6,3, tedy střední, Intel již vydal příslušné Security Advisory (úvodní informační). U AMD jde o CVE-2022–23823. Postiženy jsou víceméně všechny procesory Intel (minimálně posledních několika generací, které pracují s proměnnými frekvencemi a adaptivním řízením napájení), u AMD jde o víceméně všechny procesory typu Ryzen, Threadripper, EPYC a několik dalších rodin.

Další informace budou nepochybně přicházet v nejbližších dnech a týdnech. Podrobnosti k chybě v samostaném PDF.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.

Byl pro vás článek přínosný?

Autor zprávičky

Příznivec open-source rád píšící i o ne-IT tématech. Odpůrce softwarových patentů a omezování občanských svobod ve prospěch korporací.