Расширения Software Guard - Software Guard Extensions
Расширения Intel Software Guard (SGX) представляет собой набор связанный с безопасностью коды инструкций которые встроены в некоторые современные Intel центральные процессоры (Процессоры). Они разрешают уровень пользователя а также Операционная система код для определения частных областей памяти, называемый анклавы, содержимое которого защищено и не может быть прочитано или сохранено каким-либо процессом за пределами самого анклава, включая процессы, выполняющиеся на более высоких уровни привилегий.[1][2]
SGX включает шифрование ЦП части памяти. Анклав расшифрован на лету только внутри самого ЦП, и даже тогда только для кода и данных, выполняемых внутри самого анклава.[3] Таким образом, процессор защищает код от «слежки» или проверки другим кодом.[3] Код и данные в анклаве используют модель угрозы в котором анклав является доверенным, но никакому процессу за его пределами нельзя доверять (включая Операционная система сам и любой гипервизор ), и поэтому все они рассматриваются как потенциально враждебные. Содержимое анклава не может быть прочитано никаким кодом за пределами анклава, кроме его зашифрованной формы.[3]. Приложения, работающие внутри SGX, должны быть написаны так, чтобы быть устойчивыми к побочным каналам, поскольку SGX не защищает от измерения или наблюдения побочных каналов.[4]
SGX разработан, чтобы быть полезным для реализации безопасных удаленное вычисление, безопасный просмотр веб-страниц, и управление цифровыми правами (DRM).[5] Другие приложения включают сокрытие собственные алгоритмы и из ключи шифрования.[3]
Подробности
SGX был впервые представлен в 2015 году с шестым поколением Intel Core микропроцессоры на базе Skylake микроархитектура.
Поддержка SGX в ЦП указана в CPUID «Лист структурированной расширенной функции», EBX бит 02,[6] но его доступность для приложений требует BIOS /UEFI поддержка и включение подписки, которая не отражается в битах CPUID. Это усложняет логику обнаружения функций для приложений.[7]
Эмуляция SGX была добавлена в экспериментальную версию QEMU системный эмулятор 2014 года.[8] В 2015 году исследователи из Технологический институт Джорджии выпустила симулятор с открытым исходным кодом под названием «OpenSGX».[9]
Одним из примеров использования SGX в безопасности было демонстрационное приложение от wolfSSL[10] используя его для алгоритмов криптографии.
Intel Голдмонт Плюс Микроархитектура (Gemini Lake) также содержит поддержку Intel SGX.[11]
Атаки
Prime + Probe атака
27 марта 2017 г. исследователи австрийского Технологический университет Граца разработал доказательство концепции, которое может ЮАР ключи из анклавов SGX, работающих в одной системе в течение пяти минут, с использованием определенных инструкций ЦП вместо точного таймера для использования тайник DRAM боковые каналы.[12][13] Одна из мер противодействия этому типу атак была представлена и опубликована Daniel Gruss et al. на USENIX Симпозиум по безопасности в 2017 году.[14] Среди других опубликованных мер противодействия 28 сентября 2017 г. была опубликована одна мера противодействия этому типу атак: инструмент на основе компилятора DR.SGX,[15] который утверждает, что имеет превосходную производительность при устранении сложности реализации других предлагаемых решений.
Атака призрака
Группа LSDS в Имперском колледже Лондона продемонстрировала доказательство концепции, что Призрак Спекулятивная уязвимость безопасности выполнения может быть адаптирована для атаки на безопасный анклав.[16] В Предзнаменование Атака, раскрытая в августе 2018 года, сочетает в себе спекулятивное исполнение и переполнение буфера для обхода SGX.[17]
Атака анклава
8 февраля 2019 г. исследователи Австрийского Технологический университет Граца опубликовали результаты, которые показали, что в некоторых случаях вредоносный код можно запускать из самого анклава.[18] Эксплойт включает сканирование памяти процесса с целью восстановления полезной нагрузки, которая затем может запускать код в системе. В документе утверждается, что из-за конфиденциального и защищенного характера анклава невозможно Антивирусное программное обеспечение для обнаружения и удаления содержащихся в нем вредоносных программ. Однако, поскольку современные решения для защиты от вредоносных программ и вирусов отслеживают системные вызовы и взаимодействие приложения с операционной системой, должна быть возможность идентифицировать вредоносные анклавы по их поведению, и эта проблема вряд ли будет проблемой для текущего состояния. -современные антивирусы. Intel выступила с заявлением, в котором говорилось, что эта атака выходит за рамки модели угроз SGX, что они не могут гарантировать, что код, запускаемый пользователем, поступает из надежных источников, и призвали потребителей запускать только доверенный код.[19]
Атака воспроизведения с микроскопа
Распространяется Атака по побочному каналу преследует современную компьютерную архитектуру. Многие из этих атак измеряют небольшие недетерминированные вариации выполнения некоторого кода, поэтому злоумышленнику требуется множество, возможно, десятки тысяч измерений, чтобы узнать секреты. Однако атака Microscope позволяет вредоносной ОС воспроизводить код произвольное количество раз, независимо от фактической структуры программы, что делает возможным множество атак по побочным каналам.[20]
Plundervolt
Исследователи безопасности смогли внести в выполнение в анклаве ошибки, зависящие от времени, что привело к утечке информации. Атака может выполняться удаленно, но требует доступа к привилегированному управлению напряжением и частотой процессора.[21]
LVI
Ввод значения нагрузки[22][23] вводит данные в программу, стремясь заменить значение, загруженное из памяти, которое затем используется в течение короткого времени, прежде чем ошибка будет обнаружена и откат, в течение которого LVI контролирует поток данных и управления.
SGAxe
SGAxe,[24] уязвимость SGX, расширяет атака спекулятивным исполнением в кеше [25], утечка содержимого анклава. Это позволяет злоумышленнику получить доступ к закрытым ключам ЦП, используемым для удаленной аттестации.[26]. Другими словами, злоумышленник может обойти контрмеры Intel, чтобы нарушить конфиденциальность анклавов SGX. В Атака SGAxe выполняется путем извлечения ключей аттестации из анклава частного квотирования SGX, подписанного Intel. Затем злоумышленник может маскироваться под легальные машины Intel, подписывая произвольные цитаты аттестации SGX.[27].
Смотрите также
Рекомендации
- ^ «Intel SGX для чайников (цели разработки Intel SGX)». intel.com. 2013-09-26.
- ^ джон (2017-08-08). «Правильное определение расширений Intel® Software Guard Extensions (Intel® SGX) в ваших приложениях». software.intel.com. Получено 2019-02-15.
- ^ а б c d «Исследователи используют Intel SGX, чтобы вывести вредоносное ПО за пределы досягаемости антивирусного ПО - Slashdot». it.slashdot.org.
- ^ «Intel SGX и побочные каналы». intel.com. 2020-02-28.
- ^ «Сведения об Intel SGX». intel.com. 2017-07-05.
- ^ Справочник по программированию расширений набора команд архитектуры Intel, Intel, АВГУСТ 2015 г., стр. 36 «Лист структурированной расширенной функции EAX = 07h, EBX Bit 02: SGX»
- ^ «Правильное определение расширений Intel Software Guard в ваших приложениях». intel.com. 2016-05-13.
- ^ «Эмуляция Intel SGX с использованием QEMU» (PDF). tc.gtisc.gatech.edu. Получено 2018-11-02.
- ^ "sslab-gatech / opensgx". GitHub. Получено 2016-08-15.
- ^ "wolfSSL в Армии обороны Израиля". wolfssl. 2016-08-11.
- ^ «Процессор Intel® Pentium® Silver J5005». Получено 2020-07-10.
- ^ Чиргвин, Ричард (7 марта 2017 г.). «Боффинс показывает, что SGX Intel может утечка криптографических ключей». Реестр. Получено 1 мая 2017.
- ^ Шварц, Майкл; Вайзер, Самуэль; Грусс, Даниэль; Морис, Клементина; Мангард, Стефан (2017). «Расширение защиты от вредоносных программ: использование SGX для сокрытия атак на кэш». arXiv:1702.08719 [cs.CR ].
- ^ «Сильная и эффективная защита побочного канала кэша с использованием аппаратной транзакционной памяти» (PDF). USENIX. 2017-08-16.
- ^ Брассер, Фердинанд; Чапкун, Срджан; Дмитриенко, Александра; Фрассетто, Томмазо; Костиайнен, Кари; Мюллер, Урс; Садеги, Ахмад-Реза (28 сентября 2017 г.). «DR.SGX: Защита анклавов SGX от кэш-атак с помощью рандомизации расположения данных». arXiv:1709.09917. Дои:10.1145/3359789.3359809. S2CID 19364841. Цитировать журнал требует
| журнал =
(помощь) - ^ Пример кода, демонстрирующий атаку типа Spectre на анклав Intel SGX.
- ^ Питер Брайт - 10 июля 2018 г., 21:00 UTC (10 июля 2018 г.). «Новая атака типа Spectre использует спекулятивное выполнение для переполнения буферов». Ars Technica. Получено 2018-11-02.
- ^ Шварц, Майкл; Вайзер, Самуэль; Грусс, Даниэль (2019-02-08). «Практическая вредоносная программа анклава с Intel SGX». arXiv:1902.03256 [cs.CR ].
- ^ Брайт, Питер (2019-02-12). «Исследователи используют Intel SGX, чтобы сделать вредоносные программы недоступными для антивирусного ПО». Ars Technica. Получено 2019-02-15.
- ^ Скарлатос, Димитриос; Ян, Мэнцзя; Гопиредди, Бхаргава; Sprabery, Читать; Торреллас, Хосеп; Флетчер, Кристофер В. (2019). «MicroScope: включение атак с использованием микроархитектурного воспроизведения». Материалы 46-го Международного симпозиума по компьютерной архитектуре - ISCA '19. Феникс, Аризона: ACM Press: 318–331. Дои:10.1145/3307650.3322228. ISBN 978-1-4503-6669-4.
- ^ «Плундервольт ворует ключи от криптографических алгоритмов». Блог Rambus. 2019-12-11. Получено 2020-03-20.
- ^ "LVI: Взлом переходного выполнения с введением значения нагрузки". lviattack.eu. Получено 2020-03-12.
- ^ «Ввод значения нагрузки». software.intel.com. Получено 2020-03-12.
- ^ «SGAxe: как SGX терпит неудачу на практике».
- ^ «CacheOut: утечка данных о процессорах Intel посредством вытеснения кеша».
- ^ «На пути к формализации удаленной аттестации на основе расширенного идентификатора конфиденциальности (EPID) в Intel SGX».
- ^ «Атаки SGAxe и CrossTalk: новые утечки данных об уязвимости Intel SGX». Отчеты о взломах. 2020-06-12. Получено 2020-06-12.
внешняя ссылка
- Расширения Intel Software Guard (Intel SGX) / Расширения ISA, Intel
- Справочник по программированию Intel Software Guard Extensions (Intel SGX), Intel, октябрь 2014 г.
- IDF 2015 - Технический чат: Введение в расширения Intel Software Guard, Intel (плакат)
- Учебные слайды ISCA 2015 для Intel SGX, Intel, июнь 2015 г.
- Маккин, Фрэнк и др. (Intel), Инновационные инструкции и модель программного обеспечения для изолированного выполнения // Труды 2-го Международного семинара по аппаратной и архитектурной поддержке безопасности и конфиденциальности. ACM, 2013.
- Джексон, Алон (докторская диссертация). Доверие - это ключ к успеху: расширение автономии и анонимности SGX, Май 2017.
- Иоанна Рутковска, Мысли о грядущих расширениях Intel Software Guard Extensions (часть 1), Август 2013
- SGX: хорошее, плохое и совершенно безобразное / Шон Давенпорт, Ричард Форд (Технологический институт Флориды) / Virus Bulletin, 2014-01-07
- Виктор Костан и Шринивас Девадас, Объяснение Intel SGX, Январь 2016 г.
- wolfSSL, Октябрь 2016 г.
- Безопасность Intel SGX для приложений защиты ключей и конфиденциальности данных / Профессор Иегуда Линделл (Университет Бар-Илан и Unbound Tech), январь 2018 г.
- Технология Intel SGX и влияние атак на процессор по стороннему каналу, Март 2020