Neue, nicht patchbare Schwachstelle in Apples M‑Serie-Chips ermöglicht das Extrahieren von Verschlüsselungsschlüsseln
(macrumors.com)• Eine neue wissenschaftliche Forschungsarbeit zeigt eine schwerwiegende Schwachstelle in Apples M‑Serie-Chips mit dem Namen „GoFetch“, die es Angreifern unter bestimmten Bedingungen ermöglicht, geheime Verschlüsselungsschlüssel von Macs zu extrahieren.
• Die Schwachstelle liegt im Data Memory-dependent Prefetcher (DMP), einer Funktion von Apple-Prozessoren, die durch vorausschauendes Vorabrufen von Daten die Verarbeitungsgeschwindigkeit verbessern soll.
• Das Papier hebt hervor, dass der DMP eine erhebliche Bedrohung für die Sicherheit des Constant-Time-Programmiermodells darstellt, das zum Schutz vor Side-Channel-Angriffen entwickelt wurde, indem sichergestellt wird, dass Operationen unabhängig von den verarbeiteten Daten gleich lange dauern.
• Das Forschungsteam wies nach, dass der DMP in Apple Silicon Informationen preisgeben kann, selbst wenn Programme so entworfen sind, dass keine Speicherzugriffsmuster offengelegt werden. Dadurch können Angreifer diese Schwachstelle ausnutzen, um Verschlüsselungsschlüssel aus Sicherheitssoftware zu extrahieren.
• Der Angriff betrifft gängige Verschlüsselungsalgorithmen, darunter traditionelle Verfahren wie den OpenSSL-Diffie-Hellman-Schlüsselaustausch und die Go-RSA-Entschlüsselung sowie Post-Quantum-Kryptografie-Verfahren wie CRYSTALS-Kyber und CRYSTALS-Dilithium.
1 Kommentare
Bei auf Verschlüsselung spezialisierter Hardware gab es neben kryptografischen (mathematischen) Schwachstellen auch Anfälligkeiten für indirekte Angriffe – im Text geht es um einen Side-Channel-Angriff –, bei denen man etwa den in einem bestimmten Zeitraum verbrauchten Strom oder die für Ver- und Entschlüsselung benötigte Zeit analysiert und so Rückschlüsse auf die Schlüssellänge zieht. Dadurch lässt sich der Schlüssel mit deutlich geringerem Aufwand finden als nach der tatsächlich erwarteten Rechenzeit. Diese Art von Angriff ist schon lange bekannt und wurde bereits in den meisten kryptografiebezogenen Modulen (HW/SW) berücksichtigt, aber die M1- und M2-Chips wurden offenbar so entwickelt, dass dies ignoriert wurde, und sind deshalb dafür anfällig.
Bis tatsächlich ein kryptografischer Schlüssel extrahiert werden kann, dürfte es in der Praxis zwar weiterhin sehr lange dauern; die Kernaussage des Artikels scheint jedoch zu sein, dass es sich um einen Designfehler handelt, wenn dadurch die erwartete Rechenzeit nicht eingehalten wird.