美女被操91,偷拍福利网,欧美,日韩,中文,人人摸人人操人人射,亚洲精品乱伦视频,无码人妻精品一区二区,无码欧美成人AAAA三区在线,看屄屄视频

技術(shù)編輯：MissD丨發(fā)自思否編輯部

公眾號：SegmentFault

本周二，有研究人員在 Intel、AMD 和其他公司的微處理器中發(fā)現(xiàn)了新的漏洞，其攻擊目標(biāo)是幾乎所有現(xiàn)代 CPU 上的節(jié)電模式（power-conservation），遠(yuǎn)程攻擊者可以利用該漏洞通過電源側(cè)通道攻擊竊取加密密鑰。

來自德克薩斯大學(xué)、伊利諾伊大學(xué)香檳分校和華盛頓大學(xué)的一組研究人員，將本次攻擊方式命名為 Hertzbleed，其核心在于動態(tài)電壓和頻率縮放（DVFS），即用于節(jié)能和減少芯片產(chǎn)生熱量的功率和熱管理功能。

研究人員解釋稱，在某些情況下，CPU 頻率的定期調(diào)整取決于當(dāng)前的 CPU 功耗，這些調(diào)整直接轉(zhuǎn)化為執(zhí)行時間差（1 赫茲=1 個周期/秒）。

眾所周知，黑客可以通過測量芯片在處理這些值時所消耗的功率，從芯片中提取秘密加密數(shù)據(jù)。這一點(diǎn)，硬件制造商們其實(shí)也早就知道。

所幸，黑客利用針對微處理器的功耗分析攻擊的手段是有限的，因?yàn)楣粽咴谔幚頇C(jī)密材料時幾乎沒有可行的方法來遠(yuǎn)程測量功耗?，F(xiàn)在，研究人員已經(jīng)找到了如何將功耗分析攻擊轉(zhuǎn)化為另一類要求相對較低的側(cè)信道（side-channel）攻擊。

Hertzbleed：

針對 DVFS 的攻擊

研究團(tuán)隊(duì)發(fā)現(xiàn)，動態(tài)電壓和頻率縮放（DVFS），這種添加到每個現(xiàn)代 CPU 中的電源和熱量管理功能，允許攻擊者通過監(jiān)控服務(wù)器響應(yīng)特定精心制作的查詢所需的時間來推斷功耗的變化。這一發(fā)現(xiàn)大大減少了所需的工作量。了解了 DVFS 功能的工作原理后，電源側(cè)信道攻擊變得更加簡單，可以遠(yuǎn)程進(jìn)行定時攻擊。

這種被稱為 Hertzbleed 的攻擊方式，利用了對 DVFS 的洞察來暴露或泄露預(yù)計(jì)將保持隱私的數(shù)據(jù)。Intel 芯片的漏洞跟蹤為 CVE-2022-24436，AMD CPU 的漏洞跟蹤為 CVE-2022-23823。研究人員已經(jīng)展示了如何利用他們開發(fā)的漏洞技術(shù)從運(yùn)行 SIKE 的服務(wù)器中提取加密密鑰（SIKE 是一種加密算法，用于在雙方之間通過不安全的通信信道建立密鑰）。

研究人員表示，他們成功復(fù)制了第 8 代至第 11 代核心微體系結(jié)構(gòu)對 Intel CPU 的攻擊。他們還聲稱，該技術(shù)將在英特爾 Xeon CPU 上運(yùn)行，并驗(yàn)證了 AMD Ryzen 處理器易受攻擊，并啟用了針對英特爾芯片的相同 SIKE 攻擊。研究人員認(rèn)為，其他制造商的芯片也可能受到影響。

據(jù)該研究小組成員解釋稱，Hertzbleed 是一個新的側(cè)信道攻擊家族：頻率側(cè)信道。在最壞的情況下，這些攻擊可允許攻擊者從以前認(rèn)為安全的遠(yuǎn)程服務(wù)器提取加密密鑰。

實(shí)驗(yàn)表明，在某些情況下，現(xiàn)代 x86 處理器的動態(tài)頻率縮放取決于所處理的數(shù)據(jù)。也就是說，在現(xiàn)代處理器上，同一程序在計(jì)算時可以以不同的 CPU 頻率運(yùn)行。

因此，Hertzbleed 對于加密軟件安全來說是一個實(shí)實(shí)在在的威脅。

Intel、AMD 尚未發(fā)布微碼更新，

但已建議加強(qiáng)庫/應(yīng)用程序的開發(fā)

對于本次漏洞攻擊事件，Intel 和 AMD 方面都已針對調(diào)查結(jié)果發(fā)布了獨(dú)立咨詢意見。

其中，Intel 安全通信兼事件響應(yīng)高級主管 JerryBryant 對本次攻擊事件的技術(shù)實(shí)用性提出了質(zhì)疑，并在一篇帖子中寫道：“雖然從研究角度來看，這個問題很有趣，但我們認(rèn)為這種攻擊在實(shí)驗(yàn)室環(huán)境之外是不可行的。還要注意的是，針對電源側(cè)信道攻擊而加固的加密實(shí)現(xiàn)不易受到此問題的攻擊?！?/span>

當(dāng)然，Intel 方面也表示所有 Intel 處理器都受到了 Hertzbleed 的影響，并發(fā)布了針對硬件和軟件制造商的指南。

盡管尚未提供修補(bǔ)程序來解決本次漏洞，但 Intel 已經(jīng)建議加密開發(fā)人員遵循其指導(dǎo)，加強(qiáng)其庫和應(yīng)用程序，以防頻率限制信息泄露。

AMD 方面則表示：“由于該漏洞會影響具有基于功耗分析的側(cè)信道泄漏的加密算法，開發(fā)人員可以對該算法的軟件代碼應(yīng)用對策。可以使用掩蔽、隱藏或密鑰旋轉(zhuǎn)來減輕攻擊?！?/span>

據(jù)報(bào)道，目前 Intel 和 AMD 都沒有發(fā)布微碼更新來改變芯片的性能。相反，他們對微軟和 Cloudflare 分別更新 PQCrypto SIDH 和 CIRCL 加密代碼庫表示支持。研究人員估計(jì)，這種緩解措施為 PQCrypto SIDH 和 CIRCL 分別增加了 11% 和 5% 的去封裝性能開銷。

參考鏈接：

https://arstechnica.com/information-technology/2022/06/researchers-exploit-new-intel-and-amd-cpu-flaw-to-steal-encryption-keys/

- END -

Intel、AMD CPU中發(fā)現(xiàn)新漏洞！黑客可通過“Hertzbleed”攻擊竊取加密密鑰

Hertzbleed：

針對 DVFS 的攻擊

Intel、AMD 尚未發(fā)布微碼更新，

但已建議加強(qiáng)庫/應(yīng)用程序的開發(fā)

Intel、AMD 尚未發(fā)布微碼更新，