两支独立的大学研究团队近日分别披露了针对英特尔与AMD广泛部署的“受信任执行环境”芯片技术的新型物理攻击途径。相关成果发表于同行评议论文,利用了二者在处理器与主存之间数据加密基本设计上的漏洞,实现了推翻厂商宣称的安全保障。
撞击式隔离器包含两个模拟开关,由微控制器进行控制。
长期以来,英特尔SGX(Software Guard Extensions)与AMD SEV-SNP(Secure Encrypted Virtualization with Secure Nested Paging)被定义为可信执行环境(TEE),用以隔离并防护云计算等应用场景中的敏感数据,支撑加密通讯和区块链等新技术。然而,多年来学界多次指出这些方案的安全承诺存在短板,而最新研究进一步加剧了担忧。
比利时鲁汶大学Jesse De Meulemeester团队提出“Battering RAM”攻击,美国密歇根大学Daniel Genkin团队则探讨了另一种“Wiretap”攻击。二者均利用英特尔与AMD选择采用的确定性加密方案,揭示了基础性缺陷。
确定性加密指相同明文每次加密后生成的密文也完全一致。这种设计便于处理大规模内存数据,却遗失了防重放与相关性分析攻击的能力。研究人员指出,为了性能和可扩展性,厂商牺牲了部分安全性,从而为低成本的物理攻击打开了大门。
研究人员通过将价格低廉的硬件“中间人”插入CPU与内存之间,验证了攻击可行性。Battering RAM攻击中,只需约50美元的模拟开关和微控制器,即可通过地址映射伪造,捕捉并重放被加密的数据。英特尔SGX使用统一密钥,攻击者可以注入任意数据、提取密钥等重要信息,危及远程证明等核心安全机制。
而在采用每虚拟机独立密钥的AMD SEV-SNP中,攻击者则可重放过时的证明报告,使被攻击虚拟机冒充为合法,从而破坏数据完整性和系统可信性。
窃听介入
Wiretap攻击则利用成本更高(约500至1000美元)的中间硬件,构建加密数据字典,从被动监听数据流中还原敏感密钥,实现对SGX中的数据长期非侵入式监控和窃取。
面对漏洞,英特尔和AMD均发布了安全公告,但未给出实质性技术修复建议。两家公司强调其TEE技术本不应被视为抗物理攻击的盾牌,虽然实际云服务商往往将其作为安全核心卖点。专家指出,攻击需具备物理访问和DDR4内存环境限制,但强调厂商应从根本放弃确定性加密,并引入数据完整性与新鲜度保护,尽管这将涉及硬件架构的重大变动。
值得注意的是,这些攻击不影响DDR5内存及采用新方案的英特尔Trust Domain Extensions,但对于目前普遍部署的SGX与SEV-SNP环境,研究结果显示只要有动机和访问条件,现有安全防线即可被悄无声息地攻破。
学者总结道:“两篇论文只是同一问题的不同侧面。支撑大规模保密计算的某些核心设计,同时也种下了难以消除的安全隐患。”
