インタビューIntel のバグがまたもや発生したことを受けて、The Register はForeshadow の共同発見者であり、アデレード大学と Data61 の研究者でもある Yuval Yarom 博士にその影響について話を聞く機会を得た。
SGXの最大の魅力は、コードを書いて、完全に信頼できない人に送ることができることです。その人が自分のマシンでSGX内のコードを実行すると、あなたはそれを確認することができます…
Yarom 博士は、Foreshadow の大きな影響の 1 つは、公開したコードが他の誰かが実行しているコードであることを保証する SGX 証明という重要な信頼モデルを破壊することだと説明しました。
ソフトウェアの改ざん防止パッケージングと考えてみてください。ソフトウェアを公開した後、誰かが変更を加えるとSGXリモート認証は失敗します。正常に動作していれば、リモートマシンがソフトウェアに署名したことは分かりますが、誰のマシンが署名したかは分かりません。
Foreshadow (CVE-2018-3615) のエクスプロイトが成功した場合、認証とプライバシー モデルの両方が破壊される可能性があります。
インテルのチップにさらに3つのデータ漏洩セキュリティホールが発見され、設計者はセキュリティをスピードに優先
続きを読む
ヤロム博士は次のように述べました。「SGXの最大の利点は、コードを書いて、完全に信頼できない相手に配布できることです。配布先はSGX内のコードを自分のマシンで実行しますが、そこで実行されるコードはすべて保護されていることがわかります。なぜなら、相手がコードを変更したり、コードが使用するデータにアクセスしたりしていないからです。」
同氏によると、ビデオ プレーヤーを作成する人は、これを権利保護のメカニズムとして使用できるという。プレーヤーはコピーを許可せず、発行者はそれが正しく動作していることを認識できる。なぜなら、その旨を示す署名済みの SGX 証明書を受け取っているからだ。
「攻撃の一環として、私たちは認証キーを入手することに成功しました。
「コードを取得して分析し、それが何をするのか、どのように動作するべきかを理解し、その動作を変更することはできます。ただし、認証を偽造することは可能です」と彼は述べた。攻撃者が実行するコードは発行者のコードと一致しないが、「改ざんされた」コードはすべての有効性チェックを通過する。
ビデオ プレーヤーの例では、攻撃者はコードを変更してコンテンツのコピーを作成し、それでも「ソフトウェアがまだ実行されており保護されていることをソフトウェアのベンダーに証明できるように」することができます。
「信頼モデル全体が崩壊する」とヤロム博士は語った。
CSIRO/Data61のプレスリリースで、ヤロム博士は次のように述べた。「インテルは、Foreshadowの影響を軽減するために、世界中の何百万台ものコンピューターの認証に使用されている暗号化キーを無効にする必要があるだろう。」
Foreshadow によって悪用された脆弱性 (および Intel が修正を調査中に発見した他の 2 つの脆弱性*) に関する報告を観察したところ、Intel はセキュリティよりもパフォーマンスを優先することで脆弱性を生み出しており、Yarom 博士もこれに同意しました。
「インテルの最近の設計上の決定は、一般的なプログラムの実行速度を上げるためにプロセッサを最適化する方法に重点を置いていたことは明らかです。
「現在、私たちが分かっているのは、こうした最適化は、特に私たちが理解していない場合には、プログラムが何をしているのかという情報が犠牲になるということです。」
同氏は、こうした意思決定はインテルに限ったことではないとも付け加えた。
ヤロム博士は、インテルのプロセッサに対するブラックボックスアプローチこそが、Data61 が RISC Foundation のオープンハードウェアの取り組みに力を入れている理由だと述べた。
「プロセッサ内部の仕組みを理解し、プロセッサの動作を保証できるようになることが重要です。
「こうした種類の攻撃が実行不可能であることを確認する必要があり、そのためにはプロセッサの動作を推論する能力が必要だ」と同氏は述べた。
このような攻撃が実行不可能であることを確認する必要があり、そのためにはプロセッサの動作を推論する能力が必要です。
ヤロム博士は、テクニオン大学のマリーナ・ミンキン氏とマーク・シルバースタイン氏、ミシガン大学のオフィル・ヴァイス氏、ダニエル・ゲンキン氏、バリス・カシクチ氏、トーマス・ヴェニッシュ氏と共同で、フォアシャドウを独自に発見した 2 つのチームのうちの 1 つに所属していました。
ルーヴェン・カトリック大学のimec-DistriNet研究グループのチーム(Jo Van Bulck、Frank Piessens、Raoul Strackx)も独立して同じ発見をしました。
ヤロム博士は、1月にメルトダウンとスペクターが出現した後、SGXが論理的に次の攻撃ベクトルであることが研究者の間で明らかになったと説明した。
マリーナ(ミンキン)はSGXに携わっていたことがあり、少し話をしたのですが、彼女はSGXで「ページ中断セマンティクス」に陥るのではなく、アクセス違反例外が発生するシナリオについて言及していました。Meltdownはアクセス違反例外に関連しているため、試してみることにしました。
脆弱性を探す場所が分かれば、「難しい部分のほとんどは終わった」と彼は言いました。®
* 研究者らは、関連する2つの脆弱性(CVE-2018-3620とCVE-2018-3646)を「Foreshadow-NG」(次世代)と呼んでいます。Intelはこれら3つの脆弱性を総称して「L1ターミナル障害」と呼んでいます。
Yarom 氏とチームの他のメンバーは、8 月 16 日に開催される Usenix セキュリティ カンファレンスで「Foreshadow: 一時的なアウトオブオーダー実行による Intel SGX 王国への鍵の抽出」を発表します。
