Уязвимость на процессорах Intel и AMD может угрожать владельцам криптовалют

Уязвимость на процессорах Intel и AMD может угрожать владельцам криптовалют

Ученые из Университета Техасского университета в Остине, Иллинойсского университета в Урбана-Шампейн и Вашингтонского университета утверждают, что злоумышленники могут использовать уязвимость под названием «Hertzleed», чтобы получить доступ к закрытым ключам в криптографических библиотеках.

Проблема обнаружена на чипах Intel для настольных компьютеров и ноутбуков с 8 по 11 поколение на базе микроархитектуры Core, а также на чипах AMD Ryzen на базе архитектуры Zen 2 и Zen 3. Об уязвимости сообщило компьютерное отделение Tom ’s Hardware.

В начале года в Intel представили собственный процессор для майнинга криптовалют.

Атака Hertzleed

Hertzbleed — это новый тип атаки по сторонним каналам, основанный на особенностях динамического управления частотой (отсюда и название: Hertz (Герц) и bleed (удаление данных)). Вот, что говорится в исследовании:

«В худшем случае эти атаки позволяют получить доступ к криптографическим ключам на удаленных серверах, анализируя время вычислений в криптографических библиотеках. Раньше подобные библиотеки считались защищенными от взломов».

Атака Hertzbleed анализирует динамическую частоту при различной рабочей нагрузке и взламывает шифр путем подбора и манипуляций с зашифрованным текстом.

Динамическое масштабирование частоты и напряжения (DVFS) — это функция, которая позволяет сократить потребление электроэнергии. Однако злоумышленники могут вычислить разницу в энергопотреблении, анализируя время отклика сервера на определенные запросы.

«Hertzbleed — реальная и практически возможная угроза безопасности», — отметили исследователи.

Как защититься

Intel и AMD в настоящее время не планируют развертывать какие-либо патчи прошивки для защиты от Hertzleed, однако есть меры, которые пользователи могут предпринять самостоятельно.

Производители чипов советуют отключить динамическое управление частотой, чтобы обезопасить себя от Hertzbleed. На процессорах Intel она называется Turbo Boost, а на AMD — Turbo Core или Precision Boost. В компаниях уверены, что эта мера не отразится на производительности процессора.

По словам старшего директора по связям с общественностью и реагированию на инциденты Джерри Брайанта, эта атака не имеет практического применения за пределами лаборатории, поскольку на кражу ключей уйдут час или даже дни. Он также добавил, что «криптографические решения, которые защищены от атак, основанных на анализе мощности по сторонним каналам, не подвержены этой уязвимости».

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Bitcoin

BnkToTheFuture рассказали, как можно спасти Celsius

Владеющая долей в Celsius инвестиционная онлайн-платформа BnkToTheFuture представила три плана спасения криптокредитора, который столкнулся с кризисом ликвидности. #DepositorsFirst Celsius Recovery Plan https://t.co/YkGy3N0Gwd — Simon Dixon (Beware Impersonators) (@SimonDixonTwitt) June 30, 2022 «BnkToTheFuture и наш CEO Саймон Диксон, как вкладчики и акционеры, взяли на себя обязательство сделать все, что в наших силах, чтобы найти хорошее решение […]

Читать дальше
Bitcoin

Coinbase: Мы не продаем данные клиентов

Криптовалютная биржа Coinbase опровергла продажу конфиденциальных данных пользователей правительству США. 1/ We want to make this incredibly clear: Coinbase does not sell proprietary customer data. Our first concern has been and always will be providing the safest and most secure crypto experience to our users. — Coinbase (@coinbase) June 30, 2022 Накануне СМИ распространили новость, […]

Читать дальше
Bitcoin

CoinFLEX до сих пор не возобновили вывод средств

Платформа криптовалютных деривативов CoinFLEX не возобновила вывод средств вопреки планам. В компании сослались на продолжающиеся переговоры с инвесторами. 24 июня CoinFLEX временно закрыла возможность вывода активов из-за «экстремальных рыночных условий» и «неопределенности в отношении контрагента». Тогда CEO компании Марк Лэмб уточнил, что последний не является хедж-фондом Three Arrows Capital или «какой-либо кредитной фирмой». CoinFLEX также временно остановила торговлю собственным […]

Читать дальше