[ziesell]

Zitat:

M-Chips von Apple: Kryptografische Schlüssel per Seitenkanalangriff auslesbar

Anfällig sind nach Angaben der Entdecker der Angriffstechnik die Apple-SoCs M1, M2 und M3. Abhilfemaßnahmen kosten voraussichtlich viel Leistung.



Ein siebenköpfiges Forscherteam hat einen neuen Seitenkanalangriff namens Gofetch vorgestellt, mit dem sich auf Macs mit Prozessoren der M-Serie von Apple geheime Schlüssel auslesen lassen. Damit sei es möglich, Schlüssel auf Basis gängiger kryptografischer Verfahren wie Diffie-Hellman, RSA, Crystals Kyber oder Dilithium zu extrahieren, erklärten die Forscher auf einer eigens für die Vorstellung von Gofetch eingerichteten Webseite.

Basis des Angriffs ist demnach eine CPU-Funktion namens Data Memory-dependent Prefetcher (DMP). Dabei handelt es sich um eine Hardwareoptimierung für die Vorhersage von Speicheradressen, um damit verbundene Daten, die mit hoher Wahrscheinlichkeit in naher Zukunft benötigt werden, frühzeitig in den Cache zu laden.

Im Gegensatz zu anderen Prefetchern berücksichtigen DMPs aber nicht nur die Adressen, sondern auch die zugehörigen Datenwerte, so dass es auf Hardwareebene zu einer Vermischung von Daten und Speicheradressen kommt. Der gesamte Compute-Stack ist dadurch nicht zeitkonstant und ermöglicht den von den Forschern entdeckten Angriff.

Daten werden als Adresse getarnt

Wenn ein Datenwert wie ein Pointer aussehe, werde dieser vom DMP als Adresse behandelt, obwohl er in Wirklichkeit keine sei, erklärten die Forscher bezüglich Gofetch gegenüber Ars Technica. Folglich würden Daten dieser vermeintlichen Adresse in den Cache geladen; die Adresse selbst werde über einen Cachekanal sichtbar und lasse sich auslesen.

Im Laufe der Zeit lassen sich den Forschern zufolge auf diese Weise geheime Schlüssel extrahieren, wenn deren Daten innerhalb des jeweiligen Verschlüsselungsalgorithmus so manipuliert werden, dass diese wie Zeiger aussehen. Ein Root-Zugriff ist dafür wohl nicht erforderlich. Wie Ars Technica berichtet, benötigt eine Anwendung, die Gofetch ausnutzt, lediglich die üblichen Benutzerrechte, die auch andere Drittanbieter-Apps unter MacOS erhalten.

Um einen 2048-Bit-RSA- oder einen Kyber-512-Schlüssel auszulesen, benötigten die Forscher bei ihren Tests weniger als eine Stunde. Für einen 2048-Bit-Diffie-Hellman-Schlüssel waren etwas mehr als zwei Stunden erforderlich, für einen Dilithium-2-Schlüssel fast zehn Stunden. Hinzu kommt eine je nach Verfahren unterschiedlich lange Offlinezeit für die weitere Verarbeitung der ausgelesenen Daten.

Leistungseinbußen sind zu erwarten

Direkt auf den betroffenen Apple-Chips lässt sich Gofetch wohl nicht patchen. Schutzmaßnahmen lassen sich Ars Technica zufolge nur durch die jeweiligen Entwickler kryptografischer Software für Apple-Systeme umsetzen. Anwender, die sich schützen wollen, sollten folglich nach Updates für ihre Anwendungen Ausschau halten.

Die Abhilfemaßnahmen sind laut dem Bericht fast alle mit erheblichen Leistungseinbußen verbunden. Allerdings trifft dies nur auf die Ausführung kryptografischer Operationen zu. Auf Apples M3-Chip lässt sich der DMP nach Angaben der Forscher durch ein spezielles DIT-Bit vollständig deaktivieren. Auf dem M1 und M2 ist dies jedoch nicht der Fall.

Details zu Gofetch veröffentlichte das Forscherteam in einem ausführlichen Paper (PDF). In einem kurzen Videoclip auf der Gofetch-Webseite wird der Angriff am Beispiel eines 2048-Bit-RSA-Schlüssels auf einem Apple M1 demonstriert. Ein Proof-of-Concept-Code soll in Kürze veröffentlicht werden.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]