Các cuộc tấn công vật lý mới đang nhanh chóng làm suy yếu hàng phòng thủ secure enclave của Nvidia, AMD và Intel

Môi trường thực thi đáng tin cậy, hay TEE, có ở mọi nơi, trong kiến trúc blockchain, hầu như mọi dịch vụ đám mây và điện toán liên quan đến AI, tài chính và nhà thầu quốc phòng. Thật khó để phóng đại sự phụ thuộc của toàn bộ các ngành công nghiệp vào ba TEE nói riêng: Điện toán bí mật từ Nvidia, SEV-SNP từ AMD, và SGX và TDX từ Intel. Cả ba đều đi kèm với sự đảm bảo rằng dữ liệu bí mật và tính toán nhạy cảm không thể được xem hoặc thay đổi, ngay cả khi một máy chủ đã phải chịu một sự thỏa hiệp hoàn toàn của hạt nhân hoạt động.

Bộ ba cuộc tấn công vật lý mới lạ đặt ra những câu hỏi mới về tính bảo mật thực sự mà các TEES này mang lại cũng như những lời hứa và quan niệm sai lầm phóng đại đến từ những người chơi lớn và nhỏ sử dụng chúng.

Cuộc tấn công gần đây nhất, được phát hành hôm thứ Ba, được gọi là TEE.fail. Nó đánh bại các biện pháp bảo vệ TEE mới nhất từ cả ba nhà sản xuất chip. Cuộc tấn công chi phí thấp, độ phức tạp thấp hoạt động bằng cách đặt một phần cứng nhỏ giữa một chip bộ nhớ vật lý duy nhất và khe cắm bo mạch chủ mà nó cắm vào. Nó cũng yêu cầu kẻ tấn công xâm phạm nhân hệ điều hành. Sau khi cuộc tấn công kéo dài ba phút này hoàn tất, Tính toán bí mật, SEV-SNP và TDX/SDX không thể tin cậy được nữa. Không giống như các cuộc tấn công Battering RAM và Wiretap từ tháng trước—chỉ hoạt động chống lại CPU sử dụng bộ nhớ DDR4—TEE.fail hoạt động chống lại DDR5, cho phép chúng hoạt động chống lại các TEE mới nhất.

Một số điều khoản áp dụng

Cả ba nhà sản xuất chip đều loại trừ các cuộc tấn công vật lý khỏi các mô hình đe dọa đối với TEE của họ, còn được gọi là khu vực an toàn. Thay vào đó, các đảm bảo được giới hạn trong việc bảo vệ dữ liệu và thực thi khỏi bị xem hoặc giả mạo, ngay cả khi hệ điều hành kernel chạy bộ xử lý đã bị xâm phạm. Không ai trong số các nhà sản xuất chip làm cho những hình chạm khắc này nổi bật và đôi khi họ đưa ra những tuyên bố khó hiểu về các biện pháp bảo vệ TEE được cung cấp.

Nhiều người dùng các TEE này đưa ra khẳng định công khai về các biện pháp bảo vệ hoàn toàn sai, gây hiểu lầm hoặc không rõ ràng. Cả ba nhà sản xuất chip và nhiều người dùng TEE đều tập trung vào sự phù hợp của các khu vực để bảo vệ máy chủ ở rìa mạng, thường nằm ở những địa điểm xa xôi, nơi truy cập vật lý là mối đe dọa hàng đầu.

“Những tính năng này liên tục bị hỏng, nhưng điều đó không ngăn được các nhà cung cấp bán chúng cho những trường hợp sử dụng này—và mọi người vẫn tin vào chúng và dành thời gian sử dụng chúng, ” HD Moore, nhà nghiên cứu bảo mật, đồng thời là người sáng lập và Giám đốc điều hành của runZero, cho biết.

Ông nói tiếp:

Nhìn chung, thật khó để một khách hàng biết họ đang nhận được gì khi họ mua máy tính bí mật trên đám mây. Đối với việc triển khai tại chỗ, có thể không rõ ràng rằng các cuộc tấn công vật lý (bao gồm cả các kênh bên) đặc biệt nằm ngoài phạm vi. Nghiên cứu này cho thấy TEE phía máy chủ không hiệu quả trước các cuộc tấn công vật lý và thậm chí còn đáng ngạc nhiên hơn, Intel và AMD coi những điều này nằm ngoài phạm vi. Nếu bạn đang mong đợi TEE cung cấp máy tính riêng trong các trung tâm dữ liệu không đáng tin cậy, những cuộc tấn công này sẽ thay đổi suy nghĩ của bạn.

Những người đưa ra những tuyên bố này chạy gam màu từ các nhà cung cấp đám mây đến các công cụ AI, nền tảng blockchain và thậm chí cả chính các nhà sản xuất chip. Sau đây là một số ví dụ:

• Cloudflare nói nó sử dụng Mã hóa bộ nhớ an toàn—công cụ mã hóa điều khiển SEV— để bảo vệ dữ liệu bí mật khỏi bị trích xuất từ máy chủ nếu bị đánh cắp.
• Trong một bài đăng nêu rõ khả năng sử dụng TEE để bảo mật thông tin bí mật được thảo luận trong các phiên trò chuyện, Anthropic cho biết vùng đất “bao gồm các biện pháp bảo vệ chống lại các cuộc tấn công vật lý.”
• Tiếp thị của Microsoft (đây và đây) dành nhiều mực để thảo luận về các biện pháp bảo vệ TEE mà không bao giờ lưu ý đến việc loại trừ.
• Meta, diễn giải hiệp hội máy tính bí mật, nói Bảo mật TEE cung cấp các biện pháp bảo vệ chống lại quản trị viên hệ thống “độc hại, chủ sở hữu cơ sở hạ tầng hoặc bất kỳ ai khác có quyền truy cập vật lý vào phần cứng.” SEV-SNP là một biện pháp bảo vệ quan trọng đảm bảo việc tích hợp các tính năng AI vào WhatsApp Messenger của Meta.
• Kể cả Nvidia tuyên bố rằng bảo mật TEE của nó bảo vệ chống lại chủ sở hữu cơ sở hạ tầng “như nhà cung cấp đám mây hoặc bất kỳ ai có quyền truy cập vật lý vào máy chủ.”
• Người tạo ra trình nhắn tin riêng Signal đảm bảo người dùng rằng việc sử dụng SGX của nó có nghĩa là các khóa “được liên kết với mã hóa này không bao giờ rời khỏi CPU cơ bản, vì vậy họ không thể truy cập được đối với chủ sở hữu máy chủ hoặc bất kỳ ai khác có quyền truy cập vào cơ sở hạ tầng máy chủ.” Tín hiệu có dài đã tin cậy trên SGX để bảo vệ dữ liệu contact-discovery.

Tôi đếm được hơn chục tổ chức khác cung cấp những đảm bảo gây nhầm lẫn, gây hiểu lầm hoặc sai lệch tương tự. Ngay cả cựu chiến binh bảo mật Moore—a với hơn ba thập kỷ kinh nghiệm—told tôi: “Phần đáng ngạc nhiên với tôi là Intel/AMD sẽ chăn-tuyên bố rằng truy cập vật lý là bằng cách nào đó ra khỏi phạm vi khi nó Lôi toàn bộ điểm.”

Trong sự công bằng, một số người dùng TEE xây dựng các biện pháp bảo vệ bổ sung trên đầu trang của các TEE được cung cấp ra khỏi hộp. Meta, ví dụ, cho biết trong một email rằng việc triển khai WhatsApp của SEV-SNP sử dụng các biện pháp bảo vệ sẽ chặn những kẻ tấn công TEE.fail mạo danh máy chủ của nó. Công ty đã không tranh cãi rằng TEE.fail dù sao cũng có thể lấy bí mật từ AMD TEE.

Trong khi đó, khả năng chống trộm Cloudflare dựa vào SME—, công cụ điều khiển mã hóa SEV-SNP. Các nhà nghiên cứu đã không trực tiếp kiểm tra SME chống lại TEE.fail. Họ đã lưu ý rằng SME sử dụng mã hóa xác định, thuộc tính mật mã khiến cả ba TEE đều thất bại. (Thêm về vai trò của mã hóa xác định sau này.)

Những người khác trình bày sai các biện pháp bảo vệ TEEs’ sẽ cung cấp các mô tả chính xác hơn ở nơi khác. Với tất cả các thông tin mâu thuẫn, không có gì lạ khi có sự nhầm lẫn.

Làm sao biết server ở đâu? Bạn không.

Nhiều người dùng TEE chạy cơ sở hạ tầng của họ bên trong các nhà cung cấp đám mây như AWS, Azure hoặc Google, nơi các biện pháp bảo vệ chống lại các cuộc tấn công vật lý và chuỗi cung ứng cực kỳ mạnh mẽ. Điều đó nâng cao tiêu chuẩn cho một cuộc tấn công kiểu TEE.fail một cách đáng k. (Không rõ liệu các dịch vụ có thể bị chính phủ có trát đòi hầu tòa hợp lệ buộc phải tấn công TEE của chính họ hay không.)

Mặc dù vậy, tất cả những cảnh báo này, thường có (1) ít thảo luận về khả năng tồn tại ngày càng tăng của các cuộc tấn công vật lý, giá rẻ, (2) không có bằng chứng (chưa) rằng việc triển khai không dễ bị tổn thương bởi ba cuộc tấn công sẽ không rơi vào nghiên cứu tiếp theo, hoặc (3) không có cách nào để các bên dựa vào TEE biết nơi các máy chủ đang chạy và liệu chúng có thoát khỏi sự thỏa hiệp vật lý hay không.

“Chúng tôi không biết phần cứng ở đâu,” Daniel Genkin, một trong những nhà nghiên cứu đằng sau cả TEE.fail và Wiretap, cho biết trong một cuộc phỏng vấn. “Từ góc độ người dùng, tôi thậm chí không có cách nào để xác minh máy chủ ở đâu. Do đó, tôi không có cách nào để xác minh xem nó nằm trong một cơ sở có uy tín hay tầng hầm của kẻ tấn công.”

Nói cách khác, các bên dựa vào chứng thực từ các máy chủ trong đám mây một lần nữa bị giảm xuống chỉ đơn giản là tin tưởng vào máy tính của người khác. Như Moore đã quan sát, giải quyết vấn đề đó chính xác là lý do TEE tồn tại.

Trong ít nhất hai trường hợp, liên quan đến các dịch vụ blockchain Secret Network và Crust, việc mất các biện pháp bảo vệ TEE khiến bất kỳ người dùng không đáng tin cậy nào cũng có thể đưa ra chứng thực mật mã. Cả hai nền tảng đều sử dụng các chứng thực để xác minh rằng một nút blockchain được vận hành bởi một người dùng không thể giả mạo việc thực thi hoặc truyền dữ liệu đến các nút của người dùng khác. Vụ hack Wiretap trên SGX giúp người dùng có thể chạy hoàn toàn dữ liệu nhạy cảm và thực thi bên ngoài TEE trong khi vẫn cung cấp chứng thực ngược lại. Trong cuộc tấn công AMD, kẻ tấn công có thể giải mã lưu lượng truy cập đi qua TEE.

Cả Secret Network và Crust đều bổ sung các biện pháp giảm thiểu sau khi biết về các cuộc tấn công vật lý có thể xảy ra bằng Wiretap và Battering RAM. Do thiếu thông điệp rõ ràng, những người dùng TEE khác có thể mắc phải những sai lầm tương tự.

Một điểm yếu đã được định trước

Nguyên nhân sâu xa của cả ba cuộc tấn công vật lý là sự lựa chọn mã hóa xác định. Hình thức mã hóa này tạo ra cùng một văn bản mã hóa mỗi khi cùng một văn bản gốc được mã hóa bằng cùng một khóa. Kẻ tấn công TEE.fail có thể sao chép các chuỗi văn bản mã hóa và sử dụng chúng trong các cuộc tấn công phát lại. (Ngược lại, mã hóa xác suất chống lại các cuộc tấn công như vậy vì cùng một bản rõ có thể mã hóa thành nhiều loại bản mã được chọn ngẫu nhiên trong quá trình mã hóa.)

TEE.fail hoạt động không chỉ chống lại SGX mà còn là một TEE Intel tiên tiến hơn được gọi là TDX. Cuộc tấn công cũng đánh bại các biện pháp bảo vệ được cung cấp bởi các TEE Nvidia Confidential Compute và AMD SEV-SNP mới nhất. Các cuộc tấn công chống lại TDX và SGX có thể trích xuất Khóa chứng thực, một ECDSA bí mật chứng nhận cho một bên từ xa rằng nó chạy phần mềm cập nhật và không thể phơi bày dữ liệu hoặc thực thi chạy bên trong vùng đất. Khóa chứng thực này lần lượt được ký bởi chứng chỉ kỹ thuật số Intel X.509 cung cấp sự đảm bảo về mặt mật mã rằng khóa ECDSA có thể được tin cậy. TEE.fail hoạt động chống lại tất cả các CPU Intel hiện đang hỗ trợ TDX và SDX.

Với việc sở hữu khóa, kẻ tấn công có thể sử dụng máy chủ bị xâm phạm để truy cập dữ liệu hoặc giả mạo mã chạy qua vùng đất và gửi cho bên tin cậy sự đảm bảo rằng thiết bị được an toàn. Với khóa này, ngay cả CPU được xây dựng bởi các nhà sản xuất chip khác cũng có thể gửi chứng thực rằng phần cứng được bảo vệ bởi Intel TEE.

GPU được trang bị Nvidia Confidential Compute don’t bind attestation reports to the specific virtual machine protected by a specific GPU. TEE.fail khai thác điểm yếu này bằng cách “mượn” một báo cáo chứng thực hợp lệ từ GPU do kẻ tấn công chạy và sử dụng nó để mạo danh GPU đang chạy Tính toán bí mật. Việc bảo vệ có sẵn trên GPU máy chủ H100/200 và B100/200 của Nvidia.

“Điều này có nghĩa là chúng tôi có thể thuyết phục người dùng rằng các ứng dụng của họ (nghĩ rằng các cuộc trò chuyện riêng tư với LLM hoặc Mô hình ngôn ngữ lớn) đang được bảo vệ bên trong TEE của GPU trong khi trên thực tế, nó đang chạy rõ ràng, ” các nhà nghiên cứu đã viết trên a trang web chi tiết cuộc tấn công. “Vì báo cáo chứng thực là ‘mượn nên chúng tôi thậm chí không sở hữu GPU ngay từ đầu.’

SEV-SNP (Secure Encrypted Virtualization-Secure Nested Paging) sử dụng ẩn bản mã trong CPU EPYC của AMD dựa trên kiến trúc Zen 5. AMD đã thêm nó để ngăn chặn một cuộc tấn công trước đó được gọi là Mật mã, cho phép các trình ảo hóa độc hại trích xuất các khóa mật mã được lưu trữ trong các khu vực của máy ảo. Tuy nhiên, bản mã không ngăn chặn được các cuộc tấn công vật lý. Với khả năng mở lại các kênh bên cipherleaks dựa vào đó, TEE.fail có thể đánh cắp thông tin xác thực OpenSSL và các tài liệu quan trọng khác dựa trên thời gian không đổi mã hóa.

Giá rẻ, nhanh chóng, và kích thước của một chiếc cặp

“Bây giờ chúng tôi đã xen kẽ lưu lượng DDR5, công việc của chúng tôi cho thấy rằng ngay cả những TEE hiện đại nhất trên tất cả các nhà cung cấp có phần cứng sẵn có cũng dễ bị tấn công vật lý giá rẻ,” Genkin nói.

Các thiết bị theo yêu cầu của TEE.fail chạy off-the-shelf bánh mà chi phí ít hơn $1,000. Một trong những thiết bị mà các nhà nghiên cứu chế tạo phù hợp với một chiếc cặp 17 inch, vì vậy nó có thể được đưa lậu vào một cơ sở chứa máy chủ được bảo vệ TEE. Một khi cuộc tấn công vật lý được thực hiện, thiết bị không cần phải được kết nối lại. Những kẻ tấn công phá vỡ TEE trên các máy chủ mà chúng hoạt động không cần tàng hình, cho phép chúng sử dụng một thiết bị lớn hơn, mà các nhà nghiên cứu cũng đã xây dựng.

Các nhà nghiên cứu đã chứng minh các cuộc tấn công nhằm vào một loạt dịch vụ dựa vào các biện pháp bảo vệ TEE của nhà sản xuất chip’. (Vì lý do đạo đức, các cuộc tấn công được thực hiện nhằm vào cơ sở hạ tầng giống hệt nhưng tách biệt với mạng target’.) Một số cuộc tấn công bao gồm BuilderNet, dstack và Secret Network.

 

BuilderNet là một mạng lưới các nhà xây dựng khối Ethereum sử dụng TDX để ngăn các bên rình mò dữ liệu others’ và để đảm bảo sự công bằng cũng như bằng chứng tiền tệ được phân phối lại một cách trung thực. Mạng lưới xây dựng các khối trị giá hàng triệu đô la mỗi tháng.

Những phiên bản đầu tiên đó mã hóa không quá 256MB RAM, một không gian đủ nhỏ để sử dụng hình thức mã hóa xác suất mạnh hơn nhiều. Ngược lại, các TEE được tích hợp trong chip máy chủ thường phải mã hóa hàng terabyte RAM. Mã hóa xác suất không mở rộng đến kích thước đó mà không có hình phạt hiệu suất nghiêm trọng. Tìm một giải pháp phù hợp với chi phí này sẽ không dễ dàng.

Một biện pháp giảm thiểu trong thời gian ngắn là đảm bảo rằng mỗi khối văn bản mã hóa 128 bit có đủ entropy. Việc thêm văn bản gốc ngẫu nhiên vào các khối sẽ ngăn chặn sự lặp lại của văn bản mã hóa. Các nhà nghiên cứu cho biết entropy có thể được thêm vào bằng cách xây dựng bố cục bộ nhớ tùy chỉnh chèn bộ đếm 64 bit với giá trị ban đầu ngẫu nhiên cho mỗi khối 64 bit trước khi mã hóa nó.

Biện pháp đối phó cuối cùng mà các nhà nghiên cứu đề xuất là bổ sung xác minh vị trí vào cơ chế chứng thực. Trong khi các cuộc tấn công nội bộ và chuỗi cung ứng vẫn là một khả năng bên trong ngay cả các dịch vụ đám mây có uy tín nhất, các chính sách nghiêm ngặt làm cho chúng ít khả thi hơn nhiều. Ngay cả những giảm nhẹ đó, tuy nhiên, don’t tịch thu mối đe dọa của một cơ quan chính phủ với trát đòi hợp lệ ra lệnh cho một tổ chức thực hiện một cuộc tấn công như vậy bên trong mạng của h.

Trong một tuyên bố, Nvidia cho biết:

NVIDIA nhận thức được nghiên cứu này. Các điều khiển vật lý ngoài các điều khiển tin cậy như các điều khiển do Intel TDX cung cấp giúp giảm rủi ro cho GPU đối với kiểu tấn công này, dựa trên các cuộc thảo luận của chúng tôi với các nhà nghiên cứu. Chúng tôi sẽ cung cấp thêm chi tiết sau khi nghiên cứu được công bố.

Người phát ngôn của Intel Jerry Bryant cho biết:

Việc giải quyết đầy đủ các cuộc tấn công vật lý vào bộ nhớ bằng cách bổ sung tính bảo mật, tính toàn vẹn và bảo vệ chống phát lại toàn diện hơn sẽ dẫn đến sự đánh đổi đáng kể đối với Tổng chi phí sở hữu. Intel tiếp tục đổi mới trong lĩnh vực này để tìm ra các giải pháp có thể chấp nhận được nhằm mang lại sự cân bằng tốt hơn giữa các biện pháp bảo vệ và sự đánh đổi TCO.

Công ty đã công bố các phản hồi đây và đây nhắc lại rằng các cuộc tấn công vật lý nằm ngoài phạm vi của cả TDX và SGX