Abo
  • Services:

Side Channel Attack: Angriff auf GnuPG über L3-Cache von Intel-CPUs

Australische Sicherheitsforscher zeigen einen neuen Angriffsvektor auf Verschlüsselung, die auf virtuellen Maschinen stattfindet. Durch Manipulation des Caches von Intel-Prozessoren können sie Schlüssel im Klartext auslesen. Die Abhilfe ist einfach, aber unbefriedigend.

Artikel veröffentlicht am ,
Das Logo von GnuPG
Das Logo von GnuPG (Bild: GnuPG.org/Screenshot: Golem.de)

In einer wissenschaftlichen Arbeit (PDF) weisen Informatiker der australischen Universität in Adelaide auf eine Angriffstechnik hin, die sich vor allem auf Intel-Systemen zum Auslesen von den Keys von Verschlüsselungsprogrammen nutzen lässt. Gesponsert wurde die Arbeit von der australischen Militärforschungseinrichtung DSTO.

Stellenmarkt
  1. Robert Bosch GmbH, Leonberg
  2. WSW Wuppertaler Stadtwerke GmbH, Wuppertal

Die Wissenschaftler hatten es sich zum Ziel gesetzt, aus dem L3-Cache eines Intel-Prozessors mit Ivy-Bridge-Architektur die dort zu einem bestimmten Zeitpunkt im Klartext vorliegenden Keys des Programms GnuPG auszulesen. Die Methode ist deswegen interessant, weil der L3-Cache - von Intel manchmal auch Last-Level-Cache oder LLC genannt - von gängigen Virtualisierungslösungen nicht abstrahiert wird.

Da sich alle Prozessorkerne zusammen mit anderen Funktionseinheiten wie den Grafikkernen seit Intels Sandy-Bridge-CPUs den LLC teilen, müssen auch alle Programme in virtuellen Maschinen (VM) Zugriff darauf haben. Auch der Hypervisor alleine kann den LLC nicht exklusiv ansprechen. Daher ist es laut den Experimenten möglich, die Grenzen von einer VM zu einer anderen zu überwinden.

Durch gezieltes Leeren (Flush) und neues Laden von Speicherbereichen des LLC (Reload) können die Forscher mittels Assembler-Code zeitliche Lücken im Laufzeitverhalten von GnuPG und dem Verhalten des Prozessors nutzen. Sie nennen ihre Methode daher Flush+Reload. Bei einer einzelnen Entschlüsselung können sie so 98 Prozent der Bits eines privaten RSA-Keys auslesen. Die Verschlüsselung gilt damit als geknackt, da auch weitere Attacken oder schlichtes Ausprobieren der fehlenden Bits den vollständigen Schlüssel liefern können. Verwendet wurde für die Experimente das Linux Fedora 18.

Memory de-duplication sollte ausgeschaltet werden

Eine Voraussetzung ist jedoch, dass die sogenannte "memory de-duplication" auf dem Zielsystem eingeschaltet ist. Diese Funktion kann in der Regel sowohl per Firmware (BIOS oder UEFI) als auch im Hypervisor-System ein- oder ausgeschaltet werden. Sie spart Speicherplatz und kann auch die Rechenleistung erhöhen, macht aber durch gemeinsam genutzte Speicherbereiche von mehreren VMs den Angriff erst möglich. Die Forscher empfehlen daher, die Funktion nicht zu verwenden.

Angriffe auf den Cache von Prozessoren sind an sich nichts Neues, es handelt sich um sogenannte Seitenkanalattacken. Eine der bemerkenswertesten Umsetzungen dieses Prinzips war der Hack der Playstation 3, bei der George Hotz ebenfalls den Hypervisor überwand, indem er den Cache der CPU manipulierte. Auch die australischen Forscher weisen darauf hin, dass bekannte Methoden wie Seitenkanalattacken durch neue Angriffsvektoren wie das Überwinden einer VM neue Bedeutung bekommen können.

Betroffen von den Angriffen können theoretisch alle Prozessoren mit nicht virtualisiertem L3-Cache sein, bei Intel sind dies alle Modelle mit LLC seit der 2011 vorgestellten Serie Core-i-2000 (Sandy Bridge), auch deren Serverversionen namens Xeon. Ebenso dürfte es sich mit AMD-CPUs mit L3-Cache verhalten, welche die australischen Wissenschaftler aber nicht untersucht haben.

Die Entwickler von GnuPG haben bereits reagiert, und wie in einem Sicherheitshinweis zu lesen ist, wurden in der Version 1.4.14 des Programms die Auswirkungen des Cache-Angriffs "abgeschwächt". Direkt dagegen wehren kann sich die Software nicht. Die Entwickler weisen darauf hin, dass die Verwendung privater Schlüssel in VMs generell nicht zu empfehlen ist.



Anzeige
Blu-ray-Angebote
  1. 4,99€
  2. (2 Monate Sky Ticket für nur 4,99€)
  3. (u. a. Der Marsianer, Spaceballs, Titanic, Batman v Superman)

Tapirleader 28. Jul 2013

Immerhin heisst es auch "Cache" weil dem Anwender die Existenz eines Caches explizit...


Folgen Sie uns
       


HP Z2 Mini Workstation - Test

Die Z2 Mini Workstation G3 kann uns im Test überzeugen - und das nicht als sehr schnelle Maschine, sondern als gut durchdachtes Gesamtkonzept.

HP Z2 Mini Workstation - Test Video aufrufen
NUC8i7HVK (Hades Canyon) im Test: Intels Monster-Mini mit Radeon-Grafikeinheit
NUC8i7HVK (Hades Canyon) im Test
Intels Monster-Mini mit Radeon-Grafikeinheit

Unter dem leuchtenden Schädel steckt der bisher schnellste NUC: Der buchgroße Hades Canyon kombiniert einen Intel-Quadcore mit AMDs Vega-GPU und strotzt förmlich vor Anschlüssen. Obendrein ist er recht leise und eignet sich für VR - selten hat uns ein System so gut gefallen.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Crimson Canyon Intel plant weiteren Mini-PC mit Radeon-Grafik
  2. NUC7CJYS und NUC7PJYH Intel bringt Atom-betriebene Mini-PCs
  3. NUC8 Intels Mini-PC hat mächtig viel Leistung

Ryzen 7 2700X im Test: AMDs Zen+ zieht gleich mit Intel
Ryzen 7 2700X im Test
AMDs Zen+ zieht gleich mit Intel

Der neue Ryzen 7 2700X gehört zu den schnellsten CPUs für 300 Euro. In Anwendungen schlägt er sich sehr gut und ist in Spielen oft überraschend flott. Besonders schön: die Abwärtskompatibilität.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ryzen 2400GE/2200GE AMD veröffentlicht sparsame 35-Watt-APUs
  2. AMD-Prozessor Ryzen-Topmodell 7 2700X kostet 320 Euro
  3. Spectre v2 AMD und Microsoft patchen CPUs bis zurück zum Bulldozer

Thermalright ARO-M14 ausprobiert: Der den Ryzen kühlt
Thermalright ARO-M14 ausprobiert
Der den Ryzen kühlt

Mit dem ARO-M14 bringt Thermalright eine Ryzen-Version des populären HR-02 Macho Rev B. Der in zwei Farben erhältliche CPU-Kühler leistet viel und ist leise, zudem hat Thermalright die Montage etwas verbessert.
Ein Hands on von Marc Sauter


      •  /