Hertzbleedのロゴ
テキサス大学、イリノイ大学アーバナシャンペーン校、ワシントン大学の研究グループらは、IntelとAMDの省電力技術である電力/熱管理機能の動的電圧および周波数調整機能(DVFS)に脆弱性があり、認証済みの悪意のあるユーザーがリモートを介して、サイドチャネル攻撃で暗号化キーといった機密情報を盗むことができる「Hertzbleed」を発表した。
Hertzbleedは、同じプログラムでも、結果によっては異なる周波数で実行されることに着目し、その処理時間の変化からデータを推測しようとするもの。現代的なCPUのほとんどが負荷や処理内容に応じてクロックを変化させるため、IntelとAMDのどちらのCPUに対しても有効。また、ポスト量子暗号のSIKE鍵の抽出にも成功したとしている。
Intelは全てのCPUが影響を受けるとしており、比較的新しい第8世代~第11世代Coreプロセッサも同様。一方でAMDはZen 2およびZen 3アーキテクチャの製品が影響を受ける。理論的には、動的に周波数を変更させるArmプロセッサでも影響を受けると考えられているが、現時点では研究チームは未確認。
既にAMDとIntelは双方ともこの論文を認識しており、情報を開示するとともに、開発者に対しマスキング、非表示、キーローテーションといった手法を盛り込んだガイダンスを提供し、これに基づいて暗号化技術を実装すれば、リスクを軽減できるとしている。
コメント