Die Entwickler des Google Cloud-Teams haben eine Sicherheitsanfälligkeit festgestellt (CVE-2019-9836) bei der Implementierung der AMD SEV-Technologie (sichere verschlüsselte Virtualisierung), die mit dieser Technologie geschützte Daten gefährden kann.
AMD SEV auf Hardwareebenee bietet transparente Speicherverschlüsselung von virtuellen Maschinen, Dabei hat nur das aktuelle Gastsystem Zugriff auf die entschlüsselten Daten, während die übrigen virtuellen Maschinen und der Hypervisor beim Zugriff auf diesen Speicher einen Satz verschlüsselter Daten erhalten.
Das festgestellte Problem ermöglicht die vollständige Wiederherstellung des Inhalts des privaten PDH-Schlüssels Dies wird auf der Ebene eines einzelnen geschützten PSP-Prozessors (AMD Security Processor) verarbeitet, der für das Hauptbetriebssystem nicht verfügbar ist.
Mit dem PDH-Schlüssel kann der Angreifer den Sitzungsschlüssel und die geheime Sequenz wiederherstellen Wird beim Erstellen der virtuellen Maschine und beim Zugriff auf die verschlüsselten Daten angegeben.
Die Sicherheitsanfälligkeit ist auf Fehler bei der Implementierung elliptischer Kurven zurückzuführen (ECC) wird für die Verschlüsselung verwendet, mit der ein Angriff die Parameter der Kurve wiederherstellen kann.
Während der Ausführung des Startbefehls der geschützten virtuellen Maschine kann der Angreifer Kurvenparameter senden, die nicht mit den von NIST empfohlenen Parametern übereinstimmen. Dies führt zur Verwendung von Punktwerten niedriger Ordnung bei Multiplikationsoperationen mit Daten von Privat Schlüssel.
Es wurde festgestellt, dass die Implementierung von Elliptical Curve (ECC) von SEV anfällig für ungültige Kurvenangriffe ist. Beim Startbefehl kann ein Angreifer senden
Die ECC-Punkte kleiner Ordnung befinden sich nicht in den offiziellen NIST-Kurven und zwingen die SEV-Firmware, einen Punkt kleiner Ordnung mit dem privaten DH der skalaren Firmware zu multiplizieren.
Durch das Sammeln von genügend modularem Abfall kann ein Angreifer den vollständigen privaten PDH-Schlüssel wiederherstellen. Mit PDH kann ein Angreifer den Sitzungsschlüssel wiederherstellen und das Geheimnis der virtuellen Maschine starten. Dies verstößt gegen die von SEV angebotenen Vertraulichkeitsgarantien.
Die Sicherheit des ECDH-Protokolls hängt direkt von der Reihenfolge des generierten Startpunkts ab der Kurve, deren diskreter Logarithmus eine sehr komplexe Aufgabe ist.
In einem der Schritte zum Initialisieren der AMD SEV-Umgebung werden die vom Benutzer erhaltenen Parameter in den Berechnungen mit einem privaten Schlüssel verwendet.
Im Wesentlichen wird die Operation des Multiplizierens von zwei Punkten ausgeführt, von denen einer dem privaten Schlüssel entspricht.
Wenn sich der zweite Punkt auf Primzahlen niedriger Ordnung bezieht, kann der Angreifer die Parameter des ersten Punkts (die Bits des in der Exponentiationsmodulo-Operation verwendeten Modulos) bestimmen, indem er alle möglichen Werte auflistet. Ausgewählte Fragmente von Primzahlen können kombiniert werden, um den privaten Schlüssel unter Verwendung des chinesischen Theorems über Reste zu bestimmen.
Bei einem ungültigen Kurvenangriff wird die Multiplikation von ECDH-Punkten auf einer anderen Kurve durchgeführt - verschiedenen Parametern (a, b). Dies wird in der kurzen Weierstrass-Punktsummenfunktion ermöglicht, da der Parameter "b" nicht verwendet wird.
Auf dieser Kurve hat der Punkt eine kleine Primärordnung. Durch Ausprobieren aller möglichen Werte für den kleinen Ordnungspunkt kann ein Angreifer die privaten Skalarbits abrufen (die Reihenfolge modulieren).
AMD EPYC-Serverplattformen mit SEV-Firmware bis Version 0.17 Build 11 sind ein Problem.
AMD hat bereits ein Firmware-Update veröffentlichtDies hat eine Sperre für die Verwendung von Punkten hinzugefügt, die nicht mit der NIST-Kurve übereinstimmen.
Gleichzeitig bleiben zuvor generierte Zertifikate für PDH-Schlüssel gültig, sodass ein Angreifer einen Angriff auf die Migration virtueller Maschinen aus Umgebungen ausführen kann, die vor Sicherheitslücken für diejenigen geschützt sind, die dem Problem ausgesetzt sind.
Die Möglichkeit eines Rollback-Angriffs auf die Firmware-Version der vorherigen anfälligen Version wird ebenfalls erwähnt, diese Funktion wurde jedoch noch nicht bestätigt.
Quelle: https://seclists.org/