Исследователи обнаружили в процессорах Apple уязвимость, влияющую на криптографическую безопасность
Уязвимость, получившая название GoFetch, может быть выявлена с помощью атаки по побочному каналу, которая использует косвенную информацию для раскрытия криптографических ключей. В сценарии GoFetch используется метод предварительной выборки центрального процессора - механизма, который предназначен для прогнозирования и загрузки данных в кэш процессора до того, как эти данные действительно потребуются для запуска программ. Это позволяет выявить криптографические ключи посредством анализа времени кэширования.
Уязвимость GoFetch использует поведение Data Memory-Dependent Prefetcher (DMP)— метода центрального процессора для предварительной загрузки данных на основе наблюдаемых шаблонов доступа. Нарушение парадигмы программирования с постоянным временем позволяет злоумышленникам получать секретные ключи с помощью специально созданных входных данных и анализа времени кэширования. Парадигма программирования с постоянным временем на чипах Apple направлена на то, чтобы выполнение операций занимало одинаковое количество времени, независимо от входных значений. Это позволяет предотвратить атаки по побочным каналам, делая время выполнения операций не зависящим от секретных данных.
Исследователи показывают, что методы DMP, присутствующие во многих процессорах Apple, представляют реальную угрозу для множества криптографических решений и позволяют извлекать ключи из алгоритмов постквантовой криптографии, таких как OpenSSL Diffie-Hellman, Go RSA, CRYSTALS Kyber и Dilithium.
Чтобы проверить теорию, исследователи успешно осуществили сквозную GoFetch-атаку на оборудование Apple, оснащенное процессорами M1. Они также протестировали шаблоны активации DMP на других процессорах Apple и обнаружили, что процессоры M2 и M3 также демонстрируют схожее поведение.
Хотя исследователи не тестировали другие варианты процессоров серии M, например, M2 Pro, они предполагают, что, поскольку эти процессоры имеют ту же микроархитектуру, что и их более простые аналоги, то они также имеют уязвимые методы DMP. Примечательно, что исследователи обнаружили аналогичную уязвимость у микроархитектуры Raptor Lake 13-го поколения процессоров Intel. Однако, в отличие от Apple, критерии активации процессора Intel оказались более строгими, что сделало его невосприимчивым к атакам GoFetch
Плохая новость для пользователей Apple заключается в том, что уязвимость GoFetch не подлежит исправлению, поскольку она использует фундаментальные и широко распространенные особенности поведения разработок Apple, нацеленные на работу механизмов предварительной выборки в процессорах Apple. Учитывая, что уязвимость невозможно исправить, исследование предлагает меры по смягчению последствий, которые направлены не на устранение самого поведения предварительной выборки, а на предотвращение условий, позволяющих GoFetch добиться успеха. К ним относятся реализация контрмер в программном обеспечении, например, предотвращение уязвимых потоков управления и доступа к памяти, а также использование криптографических алгоритмов, предназначенных для защиты от атак по побочным каналам.
