Side Channel Attack: Angriff auf GnuPG über L3-Cache von Intel-CPUs

Australische Sicherheitsforscher zeigen einen neuen Angriffsvektor auf Verschlüsselung, die auf virtuellen Maschinen stattfindet. Durch Manipulation des Caches von Intel-Prozessoren können sie Schlüssel im Klartext auslesen. Die Abhilfe ist einfach, aber unbefriedigend.

Artikel veröffentlicht am ,
Das Logo von GnuPG
Das Logo von GnuPG (Bild: GnuPG.org/Screenshot: Golem.de)

In einer wissenschaftlichen Arbeit (PDF) weisen Informatiker der australischen Universität in Adelaide auf eine Angriffstechnik hin, die sich vor allem auf Intel-Systemen zum Auslesen von den Keys von Verschlüsselungsprogrammen nutzen lässt. Gesponsert wurde die Arbeit von der australischen Militärforschungseinrichtung DSTO.

Stellenmarkt
  1. Lead Developer Systemsoftware (m/w/d)
    Almex, Hannover
  2. Netzwerkadministrator (d|m|w)
    THD - Technische Hochschule Deggendorf, Deggendorf
Detailsuche

Die Wissenschaftler hatten es sich zum Ziel gesetzt, aus dem L3-Cache eines Intel-Prozessors mit Ivy-Bridge-Architektur die dort zu einem bestimmten Zeitpunkt im Klartext vorliegenden Keys des Programms GnuPG auszulesen. Die Methode ist deswegen interessant, weil der L3-Cache - von Intel manchmal auch Last-Level-Cache oder LLC genannt - von gängigen Virtualisierungslösungen nicht abstrahiert wird.

Da sich alle Prozessorkerne zusammen mit anderen Funktionseinheiten wie den Grafikkernen seit Intels Sandy-Bridge-CPUs den LLC teilen, müssen auch alle Programme in virtuellen Maschinen (VM) Zugriff darauf haben. Auch der Hypervisor alleine kann den LLC nicht exklusiv ansprechen. Daher ist es laut den Experimenten möglich, die Grenzen von einer VM zu einer anderen zu überwinden.

Durch gezieltes Leeren (Flush) und neues Laden von Speicherbereichen des LLC (Reload) können die Forscher mittels Assembler-Code zeitliche Lücken im Laufzeitverhalten von GnuPG und dem Verhalten des Prozessors nutzen. Sie nennen ihre Methode daher Flush+Reload. Bei einer einzelnen Entschlüsselung können sie so 98 Prozent der Bits eines privaten RSA-Keys auslesen. Die Verschlüsselung gilt damit als geknackt, da auch weitere Attacken oder schlichtes Ausprobieren der fehlenden Bits den vollständigen Schlüssel liefern können. Verwendet wurde für die Experimente das Linux Fedora 18.

Memory de-duplication sollte ausgeschaltet werden

Golem Karrierewelt
  1. Container Technologie: Docker und Kubernetes - Theorie und Praxis: virtueller Drei-Tage-Workshop
    14.-16.12.2022, virtuell
  2. Adobe Premiere Pro Aufbaukurs: virtueller Zwei-Tage-Workshop
    26./27.01.2023, Virtuell
Weitere IT-Trainings

Eine Voraussetzung ist jedoch, dass die sogenannte "memory de-duplication" auf dem Zielsystem eingeschaltet ist. Diese Funktion kann in der Regel sowohl per Firmware (BIOS oder UEFI) als auch im Hypervisor-System ein- oder ausgeschaltet werden. Sie spart Speicherplatz und kann auch die Rechenleistung erhöhen, macht aber durch gemeinsam genutzte Speicherbereiche von mehreren VMs den Angriff erst möglich. Die Forscher empfehlen daher, die Funktion nicht zu verwenden.

Angriffe auf den Cache von Prozessoren sind an sich nichts Neues, es handelt sich um sogenannte Seitenkanalattacken. Eine der bemerkenswertesten Umsetzungen dieses Prinzips war der Hack der Playstation 3, bei der George Hotz ebenfalls den Hypervisor überwand, indem er den Cache der CPU manipulierte. Auch die australischen Forscher weisen darauf hin, dass bekannte Methoden wie Seitenkanalattacken durch neue Angriffsvektoren wie das Überwinden einer VM neue Bedeutung bekommen können.

Betroffen von den Angriffen können theoretisch alle Prozessoren mit nicht virtualisiertem L3-Cache sein, bei Intel sind dies alle Modelle mit LLC seit der 2011 vorgestellten Serie Core-i-2000 (Sandy Bridge), auch deren Serverversionen namens Xeon. Ebenso dürfte es sich mit AMD-CPUs mit L3-Cache verhalten, welche die australischen Wissenschaftler aber nicht untersucht haben.

Die Entwickler von GnuPG haben bereits reagiert, und wie in einem Sicherheitshinweis zu lesen ist, wurden in der Version 1.4.14 des Programms die Auswirkungen des Cache-Angriffs "abgeschwächt". Direkt dagegen wehren kann sich die Software nicht. Die Entwickler weisen darauf hin, dass die Verwendung privater Schlüssel in VMs generell nicht zu empfehlen ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Paramount+ im Test
Paramounts peinliche Premiere

Ein kleiner Katalog an Filmen und Serien, gepaart mit vielen technischen Einschränkungen. So wird Paramount+ Disney+, Netflix und Prime Video nicht gefährlich.
Ein Test von Ingo Pakalski

Paramount+ im Test: Paramounts peinliche Premiere
Artikel
  1. Sicherheit: FBI ist zutiefst besorgt über Apples neue Verschlüsselung
    Sicherheit
    FBI ist "zutiefst besorgt" über Apples neue Verschlüsselung

    Das FBI könnte mit Apples Advanced Data Protection seinen wichtigsten Zugang zu iPhones verlieren. Doch dafür muss die Funktion von Nutzern aktiviert werden.

  2. Smartphones: Huawei schliesst große Patentverträge mit Oppo und Samsung
    Smartphones
    Huawei schliesst große Patentverträge mit Oppo und Samsung

    Huawei hat sich mit den großen Smartphoneherstellern Oppo und Samsung geeinigt, Patente zu tauschen und dafür zu zahlen.

  3. Intellectual Property: Wie aus der CPU ein System-on-Chip wird
    Intellectual Property
    Wie aus der CPU ein System-on-Chip wird

    Moderne Chips bestehen längst nicht mehr nur aus der CPU, sondern aus Hunderten Komponenten. Daher ist es nahezu unmöglich, einen Prozessor selbst zu entwickeln. Wir erklären wieso!
    Eine Analyse von Martin Böckmann

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Gaming-Monitore -37% • Asus RTX 4080 1.399€ • PS5 bestellbar • Gaming-Laptops & Desktop-PCs -29% • MindStar: Sapphire RX 6900 XT 799€ statt 1.192€, Apple iPad (2022) 256 GB 599€ statt 729€ • Samsung SSDs -28% • Logitech Mäuse, Tastaturen & Headsets -53% [Werbung]
    •  /