Intel сподели някои разяснения, след като изследовател заяви, че е постигнал значителен напредък в хакването на технологията за защита на данните Software Guard Extensions (SGX) на чип гиганта.
Марк Ермолов, изследовател в областта на сигурността, който е специализиран в продуктите на Intel и работи в руската фирма за киберсигурност Positive Technologies, разкри миналата седмица, че той и екипът му са успели да извлекат криптографски ключове, отнасящи се до Intel SGX.
SGX е проектиран да защитава кода и данните от софтуерни и хардуерни атаки, като ги съхранява в доверена среда за изпълнение, наречена анклав, която представлява отделен и криптиран регион.
„След години на изследвания най-накрая извлекохме Intel SGX Fuse Key0 [FK0], известен още като Root Provisioning Key. Заедно с FK1 или Root Sealing Key (също компрометиран), той представлява Root of Trust за SGX“, пише Ермолов в съобщение, публикувано на X.
Пратюш Ранджан Тивари, който изучава криптография в университета „Джон Хопкинс“, обобщи последиците от това изследване в съобщение в X.
„Компрометирането на FK0 и FK1 има сериозни последици за Intel SGX, тъй като подкопава целия модел на сигурност на платформата. Ако някой има достъп до FK0, той може да декриптира запечатани данни и дори да създаде фалшиви доклади за атестация, което напълно нарушава гаранциите за сигурност, които SGX трябва да предлага“, пише Тивари.
Тивари също така отбеляза, че засегнатите процесори Apollo Lake, Gemini Lake и Gemini Lake Refresh са достигнали края на жизнения си цикъл, но посочи, че те все още се използват широко във вградени системи.
Intel отговори публично на изследването на 29 август, като уточни, че тестовете са проведени върху системи, до които изследователите са имали физически достъп. Освен това според производителя целевите системи не са имали най-новите смекчаващи мерки и не са били правилно конфигурирани.
„Изследователите използват предварително смекчени уязвимости, датиращи още от 2017 г., за да получат достъп до това, което наричаме отключено състояние на Intel (известно още като „червено отключване“), така че тези констатации не са изненадващи“, заявиха от Intel.
Освен това производителят на чипове отбеляза, че извлеченият от изследователите ключ е криптиран. „Криптирането, защитаващо ключа, би трябвало да бъде разбито, за да се използва за злонамерени цели, и тогава то би се отнасяло само за отделната атакувана система“, заявиха от Intel.
Ермолов потвърди, че извлеченият ключ е криптиран с помощта на така наречения Fuse Encryption Key (FEK) или Global Wrapping Key (GWK), но той е уверен, че вероятно ще бъде декриптиран, като се аргументира, че в миналото са успели да получат подобни ключове, необходими за декриптиране. Изследователят също така твърди, че ключът за криптиране не е уникален.
Тивари също така отбеляза, че „GWK е общ за всички чипове от една и съща микроархитектура (основният дизайн на семейството процесори). Това означава, че ако нападателят се сдобие с GWK, той потенциално може да декриптира FK0 на всеки чип, който споделя същата микроархитектура“.
Ермолов заключава: „Нека да уточним: основната заплаха от изтичането на Intel SGX Root Provisioning Key не е достъп до данните на локалния анклав (изисква физически достъп, който вече е смекчен от пачове, приложени към EOL платформи), а възможността да се фалшифицира Intel SGX Remote Attestation.“
Функцията за отдалечено атестиране на SGX е предназначена да укрепи доверието, като проверява дали софтуерът се изпълнява в анклава Intel SGX и на напълно актуализирана система с последно ниво на сигурност.
През последните години Ермолов е участвал в няколко изследователски проекта, насочени към процесорите на Intel, както и към технологиите за сигурност и управление на компанията.
