Qualcomm is ook kwetsbaar, het is mogelijk om privésleutels te extraheren

Darkcrizt

4 minuten

volledige_ecdsa_1

In eerdere berichten we maakten bekend dat de chips Broadcom was kwetsbaar voor aanvallens en nu deze keer onderzoekers van het bedrijf NCC Group heeft details over kwetsbaarheid bekendgemaakt (CVE-2018-11976 ) op Qualcomm-chips, dat bepaalt de inhoud van persoonlijke coderingssleutels gelegen in de geïsoleerde Qualcomm QSEE (Qualcomm Secure Execution Environment) enclave op basis van ARZ TrustZone-technologie.

Het probleem manifesteert zich in de meeste Snapdragon SoC's, op Android-smartphones. Er zijn al oplossingen voor het probleem opgenomen in de Android-update van april en nieuwe firmwareversies voor Qualcomm-chips.

Qualcomm heeft meer dan een jaar nodig gehad om een ​​oplossing voor te bereiden: Aanvankelijk werd op 19 maart 2018 informatie over de kwetsbaarheid naar Qualcomm gestuurd.

Met ARM TrustZone-technologie kunt u beschermde, hardware-geïsoleerde omgevingen creëren die volledig gescheiden zijn van het hoofdsysteem en op een afzonderlijke virtuele processor draaien met behulp van een afzonderlijk gespecialiseerd besturingssysteem.

Het belangrijkste doel van TrustZone is om geïsoleerde uitvoering van encryptiesleutelhandlers, biometrische authenticatie, factuurgegevens en andere vertrouwelijke informatie te bieden.

De interactie met het hoofdbesturingssysteem vindt indirect plaats via de verzendinterface.

Private encryptiesleutels worden in een hardware-geïsoleerde keystore geplaatst die, indien correct geïmplementeerd, voorkomt dat ze uitlekken als het onderliggende systeem gecompromitteerd is.

Over het probleem

De kwetsbaarheid houdt verband met een mislukking in de implementatie van het algoritme om elliptische krommen te verwerken, wat leidde tot een lek van informatie over de gegevensverwerking.

Onderzoekers hebben zich ontwikkeld een aanvalstechniek van een derde partij die, gebaseerd op indirecte lekkage, rde inhoud van de privésleutels ophalens in een hardware-geïsoleerde Android Keystore.

Lekkages worden bepaald op basis van een analyse van de activiteit van de voorspellingsblokovergangen en veranderingen in de toegangstijd tot gegevens in het geheugen.

Tijdens het experiment Onderzoekers hebben met succes het herstel van 224- en 256-bits ECDSA-sleutels uit een geïsoleerde sleutelopslag aangetoond op hardware die wordt gebruikt in de Nexus 5X-smartphone.

Om de sleutel te herstellen, kostte het ongeveer 12 digitale handtekeningen om te genereren, wat meer dan 14 uur in beslag nam. De Cachegrab-toolkit werd gebruikt om de aanval uit te voeren.

De belangrijkste oorzaak van het probleem is het delen van gemeenschappelijke cache- en hardwarecomponenten voor computergebruik in TrustZone en in het hostsysteem: isolatie wordt gedaan op het niveau van logische scheiding, maar door gemeenschappelijke rekenblokken te gebruiken en rekensporen en informatie over de sprong in te stellen adressen in de gemeenschappelijke cache van de processor.

Met behulp van de Prime + Probe-methode, gebaseerd op een schatting van de verandering in toegangstijd tot de gecachte informatie, kunt u de beschikbaarheid van bepaalde patronen in de cache controleren met een voldoende hoge precisie van datastromen en uitvoeringstekens van code gerelateerd aan digitale handtekening berekeningen in TrustZone.

Het grootste deel van de tijd van het genereren van digitale handtekeningen met ECDSA-sleutels op Qualcomm-chips wordt besteed aan het uitvoeren van vermenigvuldigingsbewerkingen in een cyclus met behulp van de ongewijzigde initialisatievector (nonce) voor elke handtekening.

Si een aanvaller kan op zijn minst een paar bits herstellen met informatie over deze vector, het is mogelijk om een ​​aanval uit te voeren op het sequentieel herstel van de volledige privésleutel.

In het geval van Qualcomm werden twee lekpunten van deze informatie onthuld in het vermenigvuldigingsalgoritme: bij het uitvoeren van tabelzoekopdrachten en in de voorwaardelijke gegevensextractiecode op basis van de waarde van het laatste bit in de "nonce" -vector.

Hoewel de Qualcomm-code maatregelen bevat om het lekken van informatie in kanalen van derden tegen te gaan, kunt u met de ontwikkelde aanvalsmethode deze maatregelen omzeilen en enkele bits van de "nonce" -waarde definiëren, wat voldoende is om 256 ECDSA-sleutelbits te herstellen.


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.

  1.   GeekCube zei
    geleden Tot 5 jaar

    28 april en ik wacht nog steeds op de patches, die in GNU / Linux niet gebeuren

    Reageer op GeekCube