パソコン(PC)の森

2020/031234567891011121314151617181920212223242526272829302020/05

PREV | PAGE-SELECT | NEXT

≫ EDIT

仮想コア技術の脆弱性PortSmashについて

【仮想コア技術の脆弱性PortSmashについて】

フィンランドのタンペレ技術大学とキューバのハバナ工科大学の
研究者が、HTTを利用した暗号化データへのアクセスが出来る脆
弱性PortSmashを発見した様です。



【関連記事】
1PortSmash: Nueva vulnerabilidad de canal lateral qu
e afecta a las CPUs de Intel
(スペイン語)
2Intel CPUs impacted by new PortSmash side-channel
vulnerability

3PortSmash: Erneut Sicherheitslücke bei Intel(ドイ
ツ語)

4CVE-2018-5407

5PortContentionforFunandProfit(論文)



(2018/11/5追記)
回路構造の問題と言う話が出ています。

マイクロコードでの完全な対策は無理な上に、緩和策が出された
としても仮想コア側のタスクの割り当て出来る量が大幅に減って
処理能力が下がると思われます。



【PortSmashとは】
実コアを仮想的に2コアとして認識し、実行エンジンを共有化して
いる事を利用して暗号化通信用の暗号化キーを取得し、暗号化を
解除してデータを再構築できる
脆弱性です。


研究者は既にPCとサーバ間で使用されているTLS(Transport L
ayer Security)と言う暗号化技術の暗号化キーをSkylakeとKab
y Lakeで取得出来る
事を実証していますが、

恐らくIntel CPUでHTTを実装しているCPUならば全て対象にな
ると思われます。


尚、他のSMT技術を使用しているCPUも対象になる可能性が高い
と言う話も技術者は出していますが、

AMDのSMTはALUを4基一セットで制御し仮想コアとして空いて
いるALUに順次タスクを放り込む為、

HTTの様に1基のALUの回路を共有しているわけでは無いので、
命令の入れ方等処理の方式が違います。

研究者はRyzenで現状検証していますが、同じ方法での突破は不
可能だと思われます。


ARMについては今の所分かりません。



【影響を受ける部分】
サーバのTLS暗号化は一般的になっているので、サーバを使用し
てネット上に提供されているコンテンツほぼ全て対象になります。

IDやPASSを使用してLoginする様なコンテンツはPASSが漏洩す
る可能性があると考えて下さい。

例:ネット銀行、ネットゲーム等



【現状の対策としては】
TLBleedの対処法と同様にHTTを切り、緩和策を待つと共にアン
チウイルスソフトでセキュリティをしっかりしておくことです
かね。

現状マルウェアを食らって実機上で攻撃を実行されないとデータ
を盗まれないと言う事なので、セキュリティ対策が重要です。



TLBleedについては情報が少なかったので記事にしませんでした
が、今回は検証がされて突破できると実証されているので注意が
必要だと思われました。

緩和策が出されるまで情報収集を続けた方が良いと思われます。



【SpectreとMeltdown関連】

Intel CPUの致命的な設計不良によるセキュリティ問題
Spectre PrimeとMeltdown Primeについて
SpectreとMeltdown用調整BIOSの配布リスト
IntelのハードウェアセキュリティSGXの脆弱性BranchScopeについて
Spectre Next Generationについて
Spectre Next Generationについて2
Intel CPU及びARM対象のSpecterの新しい亜種について
SpectreRSBについて
NetSpectreについて
Intel CPUの新たな脆弱性L1 Terminal Faultについて
SpectreとMeltdownに関係する新たな攻撃方法について
SplitSpectreについて
SWAPGS Attackについて

Intelの脆弱性に対するApril 2018 Update(1803)用マイクロコード
Intel CPUの浮動小数点演算回路部分の脆弱性について

AV-TESTがSpectreとMeltdownを利用したマルウェアを収集
中国からのSpectreとMeltdownを利用した攻撃に警戒を
DAWGは現行のCPUとは関係ない


このBlogはBlogランキングに参加しています。
役に立ったと思った方はクリックをお願いします。




総合情報に戻る

TOPに戻る

| ハードウェア | 22:49 | comments:0 | trackbacks:0 | TOP↑

COMMENT















非公開コメント


TRACKBACK URL

https://pcnomori.blog.fc2.com/tb.php/388-2ba88d11

TRACKBACK

PREV | PAGE-SELECT | NEXT