헤르츠블레드

Hertzbleed
하트블레이드와 혼동하지 말 것.
헤르츠블레드
A blue, dripping clock crossed by an electric arc.
헤르츠블레드를 나타내는 로고
CVE 식별자CVE-2022-24436 (인텔), CVE-2022-24436 (AMD)
발견된 날짜2022년 6월 14일 공개, 8개월 전(2022-06-14)
패치가 적용된 날짜패치 계획 없음
영향을 받는 하드웨어DVFS를 사용하는 프로세서
웹 사이트hertzbleed.com

Hertzbled는 동적 주파수 스케일링을 이용하여 비밀 데이터를 공개하는 하드웨어 보안 공격입니다.공격은 타이밍 공격의 일종으로 이전의 전력 분석 취약성과 유사합니다.헤르츠블레드는 원격 공격자에 의해 악용될 수 있기 때문에 전력 분석보다 더 위험합니다.암호키의 공개는 [1][2][3][4]악용과 관련된 주요 관심사입니다.

이 부정 이용은 인텔 및 AMD 프로세서에 대해 동작하는 것이 확인되었습니다.인텔의 보안 어드바이저리에서는 모든 인텔 프로세서가 영향을 받습니다.주파수 스케일링을 사용하는 다른 프로세서가 있지만 이 프로세서에 대한 공격은 테스트되지 않았습니다.

인텔과 AMD 모두 마이크로코드 패치를 출시할 계획이 없으며, 대신 암호화 라이브러리를 취약성에 대해 강화하도록 권고하고 있습니다.

메커니즘

통상적인 타이밍 공격은 상수 시간 프로그래밍을 사용하여 완화됩니다.이것에 의해, 입력 데이터에 관계없이, 각 명령의 소요 시간이 같게 됩니다.헤르츠블레드는 타이밍 공격과 전력 분석 공격을 결합합니다.전력 분석 공격은 CPU의 전력 소비량을 측정하여 처리 중인 데이터를 추론합니다.단, 이를 위해서는 공격자가 소비전력을 측정할 수 있어야 합니다.

Hertzbled는 동적 주파수 스케일링에 의해 발생하는 실행 시간 차이를 이용합니다.이는 프로세서의 주파수를 변경하여 소비 전력과 온도 제약을 유지하는 CPU 기능입니다.프로세서의 주파수는 소비전력에 따라 달라지며, 이는 데이터에 따라 달라지기 때문에 원격 공격자는 실행 시부터 처리 중인 데이터를 추론할 수 있습니다.따라서 Hertzbled는 프로세서 [1]주파수의 변화를 고려하지 않는 고정 시간 프로그래밍을 효과적으로 바이패스합니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ a b Goodin, Dan (14 June 2022). "A new vulnerability in Intel and AMD CPUs lets hackers steal encryption keys". Ars Technica. Retrieved 14 June 2022.
  2. ^ "Hertzbleed Attack". Hertzbleed Attack. Retrieved 14 June 2022.
  3. ^ Gatlan, Sergiu. "New Hertzbleed side-channel attack affects Intel, AMD CPUs". Bleeping Computer. Retrieved 14 June 2022.
  4. ^ Liu, Chen; Chakraborty, Abhishek; Chawla, Nikhil; Roggel, Neer (7 November 2022). "Frequency Throttling Side-Channel Attack". Proceedings of the 2022 ACM SIGSAC Conference on Computer and Communications Security. CCS '22. New York, NY, USA: Association for Computing Machinery: 1977–1991. doi:10.1145/3548606.3560682. ISBN 978-1-4503-9450-5.