Side Channel Attack: Angriff auf GnuPG über L3-Cache von Intel-CPUs

Australische Sicherheitsforscher zeigen einen neuen Angriffsvektor auf Verschlüsselung, die auf virtuellen Maschinen stattfindet. Durch Manipulation des Caches von Intel-Prozessoren können sie Schlüssel im Klartext auslesen. Die Abhilfe ist einfach, aber unbefriedigend.

Artikel veröffentlicht am ,
Das Logo von GnuPG
Das Logo von GnuPG (Bild: GnuPG.org/Screenshot: Golem.de)

In einer wissenschaftlichen Arbeit (PDF) weisen Informatiker der australischen Universität in Adelaide auf eine Angriffstechnik hin, die sich vor allem auf Intel-Systemen zum Auslesen von den Keys von Verschlüsselungsprogrammen nutzen lässt. Gesponsert wurde die Arbeit von der australischen Militärforschungseinrichtung DSTO.

Stellenmarkt
  1. (Junior) Application Engineer Geo-Cloud (m/w/d)
    HxGN Safety & Infrastructure GmbH, Ismaning, Bonn
  2. Informatiker (m/w/d) SAP-Modulbetreuung
    ING Deutschland, Nürnberg, Frankfurt am Main
Detailsuche

Die Wissenschaftler hatten es sich zum Ziel gesetzt, aus dem L3-Cache eines Intel-Prozessors mit Ivy-Bridge-Architektur die dort zu einem bestimmten Zeitpunkt im Klartext vorliegenden Keys des Programms GnuPG auszulesen. Die Methode ist deswegen interessant, weil der L3-Cache - von Intel manchmal auch Last-Level-Cache oder LLC genannt - von gängigen Virtualisierungslösungen nicht abstrahiert wird.

Da sich alle Prozessorkerne zusammen mit anderen Funktionseinheiten wie den Grafikkernen seit Intels Sandy-Bridge-CPUs den LLC teilen, müssen auch alle Programme in virtuellen Maschinen (VM) Zugriff darauf haben. Auch der Hypervisor alleine kann den LLC nicht exklusiv ansprechen. Daher ist es laut den Experimenten möglich, die Grenzen von einer VM zu einer anderen zu überwinden.

Durch gezieltes Leeren (Flush) und neues Laden von Speicherbereichen des LLC (Reload) können die Forscher mittels Assembler-Code zeitliche Lücken im Laufzeitverhalten von GnuPG und dem Verhalten des Prozessors nutzen. Sie nennen ihre Methode daher Flush+Reload. Bei einer einzelnen Entschlüsselung können sie so 98 Prozent der Bits eines privaten RSA-Keys auslesen. Die Verschlüsselung gilt damit als geknackt, da auch weitere Attacken oder schlichtes Ausprobieren der fehlenden Bits den vollständigen Schlüssel liefern können. Verwendet wurde für die Experimente das Linux Fedora 18.

Memory de-duplication sollte ausgeschaltet werden

Golem Akademie
  1. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
Weitere IT-Trainings

Eine Voraussetzung ist jedoch, dass die sogenannte "memory de-duplication" auf dem Zielsystem eingeschaltet ist. Diese Funktion kann in der Regel sowohl per Firmware (BIOS oder UEFI) als auch im Hypervisor-System ein- oder ausgeschaltet werden. Sie spart Speicherplatz und kann auch die Rechenleistung erhöhen, macht aber durch gemeinsam genutzte Speicherbereiche von mehreren VMs den Angriff erst möglich. Die Forscher empfehlen daher, die Funktion nicht zu verwenden.

Angriffe auf den Cache von Prozessoren sind an sich nichts Neues, es handelt sich um sogenannte Seitenkanalattacken. Eine der bemerkenswertesten Umsetzungen dieses Prinzips war der Hack der Playstation 3, bei der George Hotz ebenfalls den Hypervisor überwand, indem er den Cache der CPU manipulierte. Auch die australischen Forscher weisen darauf hin, dass bekannte Methoden wie Seitenkanalattacken durch neue Angriffsvektoren wie das Überwinden einer VM neue Bedeutung bekommen können.

Betroffen von den Angriffen können theoretisch alle Prozessoren mit nicht virtualisiertem L3-Cache sein, bei Intel sind dies alle Modelle mit LLC seit der 2011 vorgestellten Serie Core-i-2000 (Sandy Bridge), auch deren Serverversionen namens Xeon. Ebenso dürfte es sich mit AMD-CPUs mit L3-Cache verhalten, welche die australischen Wissenschaftler aber nicht untersucht haben.

Die Entwickler von GnuPG haben bereits reagiert, und wie in einem Sicherheitshinweis zu lesen ist, wurden in der Version 1.4.14 des Programms die Auswirkungen des Cache-Angriffs "abgeschwächt". Direkt dagegen wehren kann sich die Software nicht. Die Entwickler weisen darauf hin, dass die Verwendung privater Schlüssel in VMs generell nicht zu empfehlen ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Infiltration bei Apple TV+
Die Außerirdischen sind da!

Nach Foundation wartet Apple innerhalb kürzester Zeit gleich mit der nächsten Science-Fiction-Großproduktion auf. Diesmal landen die Aliens auf der Erde.
Eine Rezension von Peter Osteried

Infiltration bei Apple TV+: Die Außerirdischen sind da!
Artikel
  1. Truth Social: Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz
    Truth Social
    Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz

    Hacker starten in Trumps-Netzwerk einen "Online-Krieg gegen Hass" mit Memes. Der Code scheint illegal von Mastodon übernommen worden zu sein.

  2. Krypto: NRW versteigert beschlagnahmte Bitcoin
    Krypto
    NRW versteigert beschlagnahmte Bitcoin

    Nordrhein-Westfalen hat Bitcoin im achtstelligen Eurobereich beschlagnahmt und will diese jetzt loswerden - im Rahmen einer Auktion.

  3. Rust, Deepfake, Sony, Microsoft: Konsolen-Termin für Among Us, mehr Speicher für die Xbox
    Rust, Deepfake, Sony, Microsoft
    Konsolen-Termin für Among Us, mehr Speicher für die Xbox

    Sonst noch was? Was am 22. Oktober 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Seagate SSDs & HDD günstiger (u. a. ext. HDD 14TB 326,99) • Dualsense PS5-Controller Weiß 57,99€ • MacBook Pro 2021 jetzt vorbestellbar • World of Tanks jetzt mit Einsteigerparket • Docking-Station für Nintendo Switch 9,99€ • Alternate-Deals (u. a. iPhone 12 Pro 512GB 1.269€) [Werbung]
    •  /