AppleのMシリーズチップで新たにパッチ不可能な脆弱性、暗号鍵の抽出を許す
(macrumors.com)• 新たな学術研究論文は、AppleのMシリーズチップに存在する「GoFetch」と呼ばれる深刻な脆弱性を示しており、特定の条件下で攻撃者がMacから秘密の暗号鍵を抽出できることを明らかにしている。
• この脆弱性は、データを先読みして取得することで処理速度の向上を目指すAppleプロセッサの機能であるデータメモリ依存プリフェッチャ(DMP)にある。
• 論文は、DMPが、処理されるデータに関係なく処理時間を一定にすることでサイドチャネル攻撃から保護するよう設計された定数時間プログラミングモデルの安全性に対して、重大な脅威となる点を強調している。
• 研究チームは、Apple SiliconのDMPが、メモリアクセスパターンが明らかにならないようプログラムを設計しても情報を漏えいさせ得ることを実証し、攻撃者がこの脆弱性を悪用してセキュリティソフトウェアから暗号鍵を抽出できることを示した。
• この攻撃は、OpenSSLのディフィー・ヘルマン鍵交換やGoのRSA復号のような従来の手法に加え、CRYSTALS-KyberやCRYSTALS-Dilithiumといった耐量子暗号方式を含む、広く使われている暗号アルゴリズムに影響する。
1件のコメント
暗号化に特化したハードウェアは、暗号学的(数学的)な脆弱性だけでなく、一定時間内の消費電力量や暗号化・復号化に要した時間を分析することで鍵長を推測するような間接攻撃(本文で述べられているサイドチャネル攻撃、side-channel attack)にも脆弱でした。こうなると、当初想定していた computational time よりもはるかに少ない労力で鍵を見つけられるようになります。この種の攻撃はかなり前から知られており、すでに大半の暗号化関連モジュール(hw/sw)に対策が適用されていましたが、M1 および M2 チップはこれを考慮せずに作られており、そのため脆弱だということですね。
実際に暗号鍵が抽出されるまでには、なお非常に長い時間がかかるでしょうが、期待されていた計算時間を満たせなくしてしまうのは設計上の欠陥とみなせる、というのがこの記事の論旨のようです.