Môi trường thực thi đáng tin cậy, hay TEE, có mặt ở khắp mọi nơi—trong kiến ​​trúc blockchain, hầu hết mọi dịch vụ đám mây và điện toán liên quan đến trí tuệ nhân tạo, tài chính và các nhà thầu quốc phòng . Thật khó để đánh giá hết mức độ phụ thuộc của toàn bộ các ngành công nghiệp vào ba TEE cụ thể: Confidential Compute của Nvidia, SEV-SNP của AMD và SGX cùng TDX của Intel. Cả ba đều đảm bảo rằng dữ liệu bí mật và các tác vụ điện toán nhạy cảm không thể bị xem hoặc thay đổi, ngay cả khi máy chủ bị xâm phạm hoàn toàn nhân hệ điều hành.

Ba vụ tấn công vật lý mới lạ đã đặt ra những câu hỏi mới về tính bảo mật thực sự mà các thiết bị TEES này cung cấp, cũng như những lời hứa phóng đại và những hiểu lầm đến từ các bên sử dụng chúng, cả lớn lẫn nhỏ.

Cuộc tấn công mới nhất, được công bố hôm thứ Ba, được gọi là TEE.fail. Nó vô hiệu hóa các biện pháp bảo vệ TEE mới nhất từ ​​cả ba nhà sản xuất chip. Cuộc tấn công chi phí thấp, độ phức tạp thấp này hoạt động bằng cách đặt một phần cứng nhỏ giữa một chip nhớ vật lý duy nhất và khe cắm trên bo mạch chủ mà nó cắm vào. Nó cũng yêu cầu kẻ tấn công phải xâm nhập vào nhân hệ điều hành. Sau khi cuộc tấn công kéo dài ba phút này hoàn tất, Confidential Compute, SEV-SNP và TDX/SDX không còn đáng tin cậy nữa. Không giống như các cuộc tấn công Battering RAM và Wiretap từ tháng trước —chỉ hoạt động chống lại CPU sử dụng bộ nhớ DDR4—TEE.fail hoạt động chống lại DDR5, cho phép chúng hoạt động chống lại các TEE mới nhất.

Một số điều khoản được áp dụng.

Cả ba nhà sản xuất chip đều loại trừ các cuộc tấn công vật lý khỏi mô hình mối đe dọa đối với TEE (còn được gọi là vùng bảo mật). Thay vào đó, các đảm bảo chỉ giới hạn ở việc bảo vệ dữ liệu và quá trình thực thi khỏi bị xem trộm hoặc can thiệp, ngay cả khi hệ điều hành nhân chạy trên bộ xử lý bị xâm phạm. Không nhà sản xuất chip nào nêu bật những ngoại lệ này, và đôi khi họ đưa ra những tuyên bố khó hiểu về các biện pháp bảo vệ TEE được cung cấp.

Nhiều người dùng các TEE này đưa ra những tuyên bố công khai về khả năng bảo vệ hoàn toàn sai, gây hiểu nhầm hoặc không rõ ràng. Cả ba nhà sản xuất chip và nhiều người dùng TEE đều tập trung vào tính phù hợp của các vùng bảo mật này để bảo vệ máy chủ ở rìa mạng, thường nằm ở những vị trí xa xôi, nơi việc truy cập vật lý là mối đe dọa hàng đầu.

“Những tính năng này liên tục bị lỗi, nhưng điều đó không ngăn cản các nhà cung cấp bán chúng cho những trường hợp sử dụng này—và mọi người vẫn tin tưởng và dành thời gian sử dụng chúng,” HD Moore, một nhà nghiên cứu bảo mật, người sáng lập và CEO của runZero, cho biết.

Ông tiếp tục:

Nhìn chung, khách hàng khó có thể biết mình đang nhận được gì khi mua dịch vụ điện toán bảo mật trên đám mây. Đối với các triển khai tại chỗ, có thể không rõ ràng rằng các cuộc tấn công vật lý (bao gồm cả các kênh phụ) nằm ngoài phạm vi bảo mật. Nghiên cứu này cho thấy các TEE phía máy chủ không hiệu quả chống lại các cuộc tấn công vật lý, và điều đáng ngạc nhiên hơn nữa là Intel và AMD coi chúng nằm ngoài phạm vi bảo mật. Nếu bạn kỳ vọng TEE sẽ cung cấp khả năng điện toán riêng tư trong các trung tâm dữ liệu không đáng tin cậy, những cuộc tấn công này sẽ khiến bạn thay đổi suy nghĩ.

Những người đưa ra tuyên bố này đến từ nhiều lĩnh vực khác nhau, từ các nhà cung cấp dịch vụ đám mây đến các công cụ trí tuệ nhân tạo, nền tảng blockchain, và thậm chí cả các nhà sản xuất chip. Dưới đây là một vài ví dụ:

• Cloudflare cho biết họ đang sử dụng Secure Memory Encryption (SEV) - công cụ mã hóa được sử dụng trong SEV - để bảo vệ dữ liệu bí mật khỏi bị trích xuất từ ​​máy chủ nếu bị đánh cắp.
• Trong một bài đăng nêu rõ khả năng sử dụng TEE để bảo mật thông tin bí mật được thảo luận trong các phiên trò chuyện, Anthropic cho biết khu vực biệt lập này “bao gồm các biện pháp bảo vệ chống lại các cuộc tấn công vật lý”.
• Bộ phận marketing của Microsoft ( ở đây và ở đây ) dành rất nhiều trang để thảo luận về các biện pháp bảo vệ TEE mà không hề đề cập đến điều khoản loại trừ.
• Meta, trích dẫn từ Hiệp hội Điện toán Bảo mật (Confidential Computing Consortium), cho biết bảo mật TEE cung cấp các biện pháp bảo vệ chống lại “các quản trị viên hệ thống, chủ sở hữu cơ sở hạ tầng hoặc bất kỳ ai khác có quyền truy cập vật lý vào phần cứng”. SEV-SNP là một biện pháp phòng vệ quan trọng để bảo đảm việc tích hợp các tính năng AI vào ứng dụng WhatsApp Messenger của Meta.
• Ngay cả Nvidia cũng tuyên bố rằng hệ thống bảo mật TEE của họ có khả năng bảo vệ chống lại “các chủ sở hữu cơ sở hạ tầng như nhà cung cấp dịch vụ đám mây, hoặc bất kỳ ai có quyền truy cập vật lý vào máy chủ”.
• Nhà sản xuất ứng dụng nhắn tin riêng tư Signal đảm bảo với người dùng rằng việc sử dụng SGX có nghĩa là “các khóa liên kết với mã hóa này không bao giờ rời khỏi CPU cơ bản, vì vậy chúng không thể truy cập được bởi chủ sở hữu máy chủ hoặc bất kỳ ai khác có quyền truy cập vào cơ sở hạ tầng máy chủ.” Signal từ lâu đã dựa vào SGX để bảo vệ dữ liệu tìm kiếm liên lạc.

Tôi đã đếm được hơn chục tổ chức khác đưa ra những lời đảm bảo tương tự gây nhầm lẫn, sai lệch hoặc không đúng sự thật. Ngay cả Moore—một chuyên gia bảo mật kỳ cựu với hơn ba thập kỷ kinh nghiệm—cũng nói với tôi: “Điều đáng ngạc nhiên đối với tôi là Intel/AMD lại khẳng định một cách chung chung rằng việc truy cập vật lý bằng cách nào đó nằm ngoài phạm vi, trong khi đó lại là điểm mấu chốt.”

Công bằng mà nói, một số người dùng TEE xây dựng thêm các lớp bảo vệ bổ sung trên nền tảng TEE được cung cấp sẵn. Ví dụ, Meta đã nói trong một email rằng việc triển khai SEV-SNP của WhatsApp sử dụng các biện pháp bảo vệ có thể ngăn chặn những kẻ tấn công TEE.fail mạo danh máy chủ của họ. Công ty này không phủ nhận rằng TEE.fail vẫn có thể lấy được thông tin bí mật từ AMD TEE.

Trong khi đó, cơ chế bảo vệ chống trộm của Cloudflare dựa vào SME—công cụ vận hành mã hóa SEV-SNP. Các nhà nghiên cứu không trực tiếp kiểm tra SME với TEE.fail. Tuy nhiên, họ lưu ý rằng SME sử dụng mã hóa xác định, thuộc tính mật mã gây ra lỗi cho cả ba TEE.fail. (Chúng ta sẽ tìm hiểu thêm về vai trò của mã hóa xác định sau.)

Những người khác đưa ra thông tin sai lệch về phạm vi bảo vệ của TEEs lại cung cấp mô tả chính xác hơn ở những nơi khác. Với tất cả những thông tin mâu thuẫn này, không có gì lạ khi gây ra sự nhầm lẫn.

Làm sao bạn biết máy chủ ở đâu? Bạn không biết.

Nhiều người dùng TEE vận hành cơ sở hạ tầng của họ bên trong các nhà cung cấp dịch vụ đám mây như AWS, Azure hoặc Google, nơi có các biện pháp bảo vệ chống lại các cuộc tấn công chuỗi cung ứng và tấn công vật lý cực kỳ mạnh mẽ. Điều đó làm tăng đáng kể rào cản đối với một cuộc tấn công kiểu TEE.fail. (Liệu các dịch vụ này có thể bị chính phủ buộc phải tấn công chính TEE của họ bằng trát tòa hợp lệ hay không vẫn chưa rõ.)

Bất chấp tất cả những lưu ý này, thường có (1) ít thảo luận về tính khả thi ngày càng tăng của các cuộc tấn công vật lý giá rẻ, (2) không có bằng chứng (cho đến nay) rằng các triển khai không dễ bị tổn thương bởi ba cuộc tấn công sẽ không bị nghiên cứu tiếp theo, hoặc (3) không có cách nào để các bên dựa vào TEE biết máy chủ đang chạy ở đâu và liệu chúng có an toàn khỏi sự xâm phạm vật lý hay không.

“Chúng tôi không biết phần cứng nằm ở đâu,” Daniel Genkin, một trong những nhà nghiên cứu đứng sau cả TEE.fail và Wiretap, cho biết trong một cuộc phỏng vấn. “Từ góc nhìn người dùng, tôi thậm chí không có cách nào để xác minh vị trí của máy chủ. Do đó, tôi không có cách nào để xác minh liệu nó nằm ở một cơ sở uy tín hay tầng hầm của kẻ tấn công.”

Nói cách khác, các bên dựa vào xác thực từ các máy chủ trên đám mây một lần nữa lại chỉ còn cách tin tưởng vào máy tính của người khác. Như Moore đã nhận xét, giải quyết vấn đề đó chính là lý do TEE tồn tại.

Ít nhất trong hai trường hợp, liên quan đến các dịch vụ blockchain Secret Network và Crust, việc mất đi các biện pháp bảo vệ TEE đã cho phép bất kỳ người dùng không đáng tin cậy nào cũng có thể đưa ra các chứng thực mật mã. Cả hai nền tảng đều sử dụng các chứng thực này để xác minh rằng một nút blockchain do một người dùng vận hành không thể can thiệp vào quá trình thực thi hoặc dữ liệu truyền đến các nút của người dùng khác. Vụ tấn công Wiretap vào SGX đã cho phép người dùng chạy dữ liệu và các tác vụ nhạy cảm bên ngoài TEE hoàn toàn trong khi vẫn cung cấp các chứng thực ngược lại. Trong vụ tấn công AMD, kẻ tấn công có thể giải mã lưu lượng truy cập đi qua TEE.

Cả Secret Network và Crust đều đã bổ sung các biện pháp giảm thiểu rủi ro sau khi biết về các cuộc tấn công vật lý có thể xảy ra bằng Wiretap và Battering RAM. Do thiếu thông báo rõ ràng, nhiều người dùng TEE khác có thể đang mắc phải những sai lầm tương tự.

Một điểm yếu đã được định trước

Nguyên nhân gốc rễ của cả ba cuộc tấn công vật lý là việc lựa chọn mã hóa xác định . Hình thức mã hóa này tạo ra cùng một bản mã mỗi khi cùng một văn bản gốc được mã hóa bằng cùng một khóa. Kẻ tấn công TEE.fail có thể sao chép các chuỗi bản mã và sử dụng chúng trong các cuộc tấn công phát lại. (Ngược lại, mã hóa xác suất chống lại các cuộc tấn công như vậy vì cùng một văn bản gốc có thể được mã hóa thành nhiều bản mã khác nhau được chọn ngẫu nhiên trong quá trình mã hóa.)

TEE.fail không chỉ hoạt động chống lại SGX mà còn cả một loại TEE tiên tiến hơn của Intel được gọi là TDX. Cuộc tấn công này cũng vô hiệu hóa các biện pháp bảo vệ được cung cấp bởi Nvidia Confidential Compute và AMD SEV-SNP TEE mới nhất. Các cuộc tấn công chống lại TDX và SGX có thể trích xuất Khóa Chứng thực, một bí mật ECDSA chứng nhận với bên thứ ba rằng họ đang chạy phần mềm được cập nhật và không thể làm lộ dữ liệu hoặc quá trình thực thi đang chạy bên trong vùng bảo mật. Khóa Chứng thực này lại được ký bởi chứng chỉ số Intel X.509, cung cấp sự đảm bảo về mặt mật mã rằng khóa ECDSA có thể được tin cậy. TEE.fail hoạt động chống lại tất cả các CPU Intel hiện đang hỗ trợ TDX và SDX.

Khi nắm giữ được khóa, kẻ tấn công có thể sử dụng máy chủ bị xâm nhập để xem trộm dữ liệu hoặc can thiệp vào mã nguồn truyền qua vùng bảo mật và gửi cho bên dựa vào khóa một lời đảm bảo rằng thiết bị được an toàn. Với khóa này, ngay cả các CPU do các nhà sản xuất chip khác chế tạo cũng có thể gửi xác nhận rằng phần cứng được bảo vệ bởi Intel TEE.

Các GPU được trang bị Nvidia Confidential Compute không liên kết các báo cáo xác thực với máy ảo cụ thể được bảo vệ bởi GPU cụ thể đó. TEE.fail khai thác điểm yếu này bằng cách "mượn" một báo cáo xác thực hợp lệ từ GPU do kẻ tấn công vận hành và sử dụng nó để mạo danh GPU đang chạy Confidential Compute. Tính năng bảo vệ này có sẵn trên các GPU máy chủ H100/200 và B100/200 của Nvidia.

“Điều này có nghĩa là chúng ta có thể thuyết phục người dùng rằng các ứng dụng của họ (ví dụ như các cuộc trò chuyện riêng tư với LLM hoặc Mô hình Ngôn ngữ Lớn) đang được bảo vệ bên trong TEE của GPU trong khi thực tế chúng đang chạy công khai,” các nhà nghiên cứu viết trên một trang web mô tả chi tiết cuộc tấn công. “Vì báo cáo xác thực được 'mượn', nên ngay từ đầu chúng ta thậm chí không sở hữu GPU nào cả.”

SEV-SNP (Secure Encrypted Virtualization-Secure Nested Paging) sử dụng phương pháp giấu mã trong CPU EPYC của AMD dựa trên kiến ​​trúc Zen 5. AMD đã bổ sung tính năng này để ngăn chặn một cuộc tấn công trước đó được gọi là Cipherleaks , cho phép các hypervisor độc hại trích xuất các khóa mã hóa được lưu trữ trong vùng bảo mật của máy ảo. Tuy nhiên, mã hóa không ngăn chặn được các cuộc tấn công vật lý. Với khả năng mở lại kênh phụ mà Cipherleaks dựa vào, TEE.fail có thể đánh cắp thông tin đăng nhập OpenSSL và các tài liệu khóa khác dựa trên mã hóa thời gian không đổi .

Rẻ, nhanh và kích thước như một chiếc cặp.

“Giờ đây, khi chúng tôi đã can thiệp vào lưu lượng DDR5, nghiên cứu của chúng tôi cho thấy ngay cả những thiết bị TEE hiện đại nhất từ ​​tất cả các nhà cung cấp với phần cứng hiện có cũng dễ bị tổn thương trước các cuộc tấn công vật lý giá rẻ,” Genkin nói.

Thiết bị cần thiết cho TEE.fail sử dụng các thiết bị có sẵn trên thị trường với giá dưới 1.000 đô la. Một trong những thiết bị mà các nhà nghiên cứu chế tạo có thể nằm gọn trong một chiếc cặp 17 inch, vì vậy nó có thể được tuồn vào một cơ sở chứa máy chủ được bảo vệ bằng TEE. Sau khi cuộc tấn công vật lý được thực hiện, thiết bị không cần phải được kết nối lại. Những kẻ tấn công phá vỡ TEE trên các máy chủ mà chúng vận hành không cần phải hành động lén lút, cho phép chúng sử dụng một thiết bị lớn hơn, mà các nhà nghiên cứu cũng đã chế tạo.

Một máy phân tích logic được gắn vào một bộ chuyển đổi trung gian.

Các thiết bị cắm vào khe cắm DIMNM.

Tổng quan về các thiết bị liên quan.

Các nhà nghiên cứu đã chứng minh các cuộc tấn công nhắm vào một loạt các dịch vụ dựa trên cơ chế bảo vệ TEE của các nhà sản xuất chip. (Vì lý do đạo đức, các cuộc tấn công được thực hiện nhằm vào cơ sở hạ tầng giống hệt nhưng tách biệt với mạng lưới của các mục tiêu.) Một số cuộc tấn công bao gồm BuilderNet, dstack và Secret Network.

BuilderNet  là một mạng lưới các nhà xây dựng khối Ethereum sử dụng TDX để ngăn chặn các bên theo dõi dữ liệu của nhau và đảm bảo tính công bằng cũng như việc phân phối lại tiền tệ bằng chứng một cách trung thực. Mạng lưới này xây dựng các khối có giá trị hàng triệu đô la mỗi tháng.

Trang web TEE.fail giải thích: “Chúng tôi đã chứng minh rằng một kẻ điều hành độc hại có khóa xác thực có thể tham gia BuilderNet và lấy được các bí mật cấu hình, bao gồm khả năng giải mã luồng lệnh bí mật và truy cập ví Ethereum để thanh toán cho các trình xác thực. Ngoài ra, kẻ điều hành độc hại có thể tạo các khối tùy ý hoặc thực hiện giao dịch trước (tức là tạo một giao dịch mới với phí cao hơn để đảm bảo giao dịch của chúng được thực hiện trước) các giao dịch bí mật để kiếm lợi nhuận trong khi vẫn có thể chối bỏ trách nhiệm.”

Đến nay, các nhà nghiên cứu cho biết, BuilderNet vẫn chưa đưa ra biện pháp khắc phục nào. Mọi nỗ lực liên lạc với các quan chức của BuilderNet đều không thành công.

dstack là một công cụ để xây dựng các ứng dụng bảo mật chạy trên các máy ảo được bảo vệ bởi Nvidia Confidential Compute. Các nhà nghiên cứu đã sử dụng TEE.fail để làm giả các chứng thực xác nhận rằng khối lượng công việc được thực hiện bởi TDX bằng cách sử dụng lớp bảo vệ của Nvidia. Họ cũng sử dụng các chứng thực "mượn" này để giả mạo quyền sở hữu GPU mà bên dựa vào tin tưởng.

Secret Network tự nhận mình là “blockchain mainnet đầu tiên với hợp đồng thông minh bảo vệ quyền riêng tư”, một phần nhờ mã hóa dữ liệu và quá trình thực thi trên chuỗi bằng SGX. Các nhà nghiên cứu đã chỉ ra rằng TEE.fail có thể trích xuất “Concensus Seed”, khóa riêng tư chính phía mạng dùng để mã hóa các giao dịch bí mật trên Secret Network. Như đã lưu ý, sau khi biết về Wiretap, Secret Network đã loại bỏ khả năng này bằng cách thiết lập danh sách cho phép “được chọn lọc” gồm các nút đã biết, đáng tin cậy được phép hoạt động trên mạng và tạm ngừng chấp nhận các nút mới. Cho dù mang tính học thuật hay không, khả năng tái tạo cuộc tấn công bằng TEE.fail cho thấy Wiretap không phải là một thành công đơn lẻ.

Một vấn đề khó giải quyết

Như đã giải thích trước đó, nguyên nhân gốc rễ của tất cả các cuộc tấn công TEE.fail là mã hóa xác định, vốn là nền tảng cho các biện pháp bảo vệ trong TEE của cả ba nhà sản xuất chip. Hình thức mã hóa yếu hơn này không phải lúc nào cũng được sử dụng trong TEE. Khi Intel lần đầu tiên triển khai SGX, tính năng này được đưa vào CPU dành cho người dùng cá nhân, chứ không phải CPU dành cho máy chủ, để ngăn người dùng tạo ra các thiết bị có thể trích xuất nội dung có bản quyền như video độ phân giải cao.

Các phiên bản đầu tiên chỉ mã hóa tối đa 256MB RAM, một dung lượng đủ nhỏ để sử dụng hình thức mã hóa xác suất mạnh hơn nhiều. Ngược lại, các bộ mã hóa TEE tích hợp trong chip máy chủ thường phải mã hóa hàng terabyte RAM. Mã hóa xác suất không thể mở rộng đến kích thước đó mà không gây ra những tổn thất nghiêm trọng về hiệu năng. Việc tìm ra giải pháp đáp ứng được nhu cầu này sẽ không dễ dàng.

Một biện pháp giảm thiểu trong ngắn hạn là đảm bảo mỗi khối mã hóa 128 bit có đủ entropy. Việc thêm văn bản gốc ngẫu nhiên vào các khối giúp ngăn ngừa sự lặp lại của mã hóa. Các nhà nghiên cứu cho biết entropy có thể được thêm vào bằng cách xây dựng một bố cục bộ nhớ tùy chỉnh, chèn một bộ đếm 64 bit với giá trị ban đầu ngẫu nhiên vào mỗi khối 64 bit trước khi mã hóa.

Biện pháp đối phó cuối cùng mà các nhà nghiên cứu đề xuất là bổ sung xác minh vị trí vào cơ chế chứng thực. Mặc dù các cuộc tấn công nội bộ và tấn công chuỗi cung ứng vẫn có thể xảy ra ngay cả trong các dịch vụ đám mây uy tín nhất, nhưng các chính sách nghiêm ngặt khiến chúng trở nên khó khả thi hơn nhiều. Tuy nhiên, ngay cả những biện pháp giảm thiểu đó cũng không loại trừ được mối đe dọa từ một cơ quan chính phủ có trát tòa hợp lệ yêu cầu một tổ chức thực hiện cuộc tấn công như vậy trong mạng lưới của họ.

Trong một tuyên bố, Nvidia cho biết:

NVIDIA đã biết về nghiên cứu này. Theo các cuộc thảo luận của chúng tôi với các nhà nghiên cứu, các biện pháp kiểm soát vật lý, bổ sung cho các biện pháp kiểm soát độ tin cậy như của Intel TDX, giúp giảm thiểu rủi ro cho GPU trước kiểu tấn công này. Chúng tôi sẽ cung cấp thêm chi tiết sau khi nghiên cứu được công bố.

Người phát ngôn của Intel, Jerry Bryant, cho biết:

Việc giải quyết triệt để các cuộc tấn công vật lý vào bộ nhớ bằng cách bổ sung thêm các biện pháp bảo vệ toàn diện hơn về tính bí mật, tính toàn vẹn và chống phát lại dẫn đến những đánh đổi đáng kể về tổng chi phí sở hữu (TCO). Intel tiếp tục đổi mới trong lĩnh vực này để tìm ra các giải pháp chấp nhận được, mang lại sự cân bằng tốt hơn giữa các biện pháp bảo vệ và sự đánh đổi về TCO.

Công ty đã đăng tải các phản hồi tại đây và đây, khẳng định lại rằng các cuộc tấn công vật lý nằm ngoài phạm vi điều chỉnh của cả TDX và SGX.