新しいTEE。IntelとAMDのDDR5セキュアエンクレーブから秘密を抽出するFailサイドチャネル攻撃

ジョージア工科大学、パデュー大学、Synkhronixの研究者によって新しいサイドチャネル攻撃「TEE.Fail」が開発されました。この攻撃は、現代のプロセッサにおける信頼実行環境（TEE）を標的としており、特にIntelのSGXおよびTDX、AMDのCiphertext Hidingを備えたSEV-SNPを解読します。核心的な革新は、市販の電子部品を用いて1,000ドル未満で製作されたカスタムインターポジションデバイスを使用し、サーバー上のDDR5メモリトラフィックに物理的にアクセスする点にあります。この前例のないアクセスにより、攻撃者はDDR5バスを流れるすべてのデータを検査でき、これら高度なTEEのセキュリティ前提を揺るがします。 Battering RAMやWireTapなどDDR4メモリを対象とした従来の攻撃とは異なり、TEE.FailはDDR5ベースのシステムに対する初の実証された実用的攻撃です。これは重要な意味を持ちます。なぜならDDR5は物理的なメモリ盗聴を防ぐための新しいハードウェア保護を含んでいるからです。研究者たちは、IntelとAMDの両者がメモリトラフィックに対して決定論的にAES-XTS暗号化を使用していることを発見しましたが、これは残念ながらこの種の物理的インターポジション攻撃を防げません。メモリの読み書きを記録・解析することで、攻撃者は更新されたハードウェア上で動作する機密仮想マシンからECDSA認証キーを含む機密鍵を抽出できます。 これらの認証キーは、データとコードが信頼された環境内で正しく実行されていることを検証するために重要です。これらのキーが漏洩すると、認証プロセスを偽装し、悪意のあるコードがTEE内で安全に実行されているとシステムを騙しつつ、実際にはデータを読み取ったり改ざんしたりすることが可能になります。この影響は広範であり、この攻撃はCPUのTEEだけでなく、NvidiaのGPU Confidential Computingも破り、攻撃者がTEE保護なしでAIワークロードを実行できるようにします。 研究者たちはまた、AMDのCiphertext Hidingを備えたSEV-SNPでさえこの脅威から完全に保護できないことを指摘しました。OpenSSLの暗号実装は定数時間であり、暗号文隠蔽も存在しますが、それでもプライベート署名鍵が攻撃によって抽出されました。これは現在のハードウェアおよびソフトウェアの対策がこの物理的サイドチャネル脅威に対して十分でないことを示しています。現時点でこの攻撃が実際に野外で使用されている証拠はありませんが、学術チームは決定論的暗号化に対するソフトウェアベースの緩和策の実装を推奨しており、これにはコストと複雑さが伴う可能性があります。 これに対し、AMDはTEE.Failのような物理的ベクター攻撃はSEV-SNPのセキュリティ保証の範囲外であり、緩和策を提供する計画はないと述べました。Intelも同様の立場を示し、これらの物理的攻撃は脅威モデルの範囲外であると再確認しました。これにより、重要なセキュアエンクレーブ技術が比較的低コストの物理攻撃に対して脆弱なまま残され、ハードウェアベースのセキュリティ保証に依存する企業やクラウドプロバイダーが潜在的なデータ漏洩やシステム侵害のリスクにさらされる懸念が生じています。