Razvijalci ekipe Google Cloud so ugotovili ranljivost (CVE-2019-9836) pri izvajanju tehnologije AMD SEV (varna šifrirana virtualizacija), ki lahko ogrozi podatke, zaščitene s to tehnologijo.
AMD SEV na ravni strojne opremee zagotavlja transparentno šifriranje pomnilnika navideznih strojev, kjer ima dostop do dešifriranih podatkov samo trenutni gostujoči sistem, medtem ko preostali navidezni stroji in hipervizor dobijo šifrirani nabor podatkov, ko dostopajo do tega pomnilnika.
Ugotovljena težava omogoča popolno obnovitev vsebine zasebnega ključa PDH ki se obdeluje na ravni enega zaščitenega procesorja PSP (AMD Security Processor), ki ni na voljo za glavni operacijski sistem.
S ključem PDH lahko napadalec obnovi ključ seje in tajno zaporedje določeno pri ustvarjanju navideznega stroja in dostopu do šifriranih podatkov.
Ranljivost je posledica napak pri izvajanju eliptičnih krivulj (ECC), ki se uporabljajo za šifriranje, ki omogočajo napad, da obnovijo parametre krivulje.
Med izvajanjem zagonskega ukaza zaščitenega navideznega stroja lahko napadalec pošlje parametre krivulje, ki se ne ujemajo s parametri, ki jih priporoča NIST, kar bo pri množenju s podatki iz zasebnega vodilo do uporabe točkovnih vrednosti nizkega reda tipko.
Ugotovljeno je bilo, da je izvajanje SEV-jeve eliptične krivulje (ECC) ranljivo za napad neveljavne krivulje. Na ukaz za zagon zagona lahko napadalec pošlje
ECC točke malega reda niso v uradnih krivuljah NIST in prisilijo vdelano programsko opremo SEV, da pomnoži majhno točko naročila z zasebnim DH skalarne programske opreme.
Z zbiranjem dovolj modularnih odpadkov lahko napadalec izkoristi celoten zasebni ključ PDH. S PDH lahko napadalec obnovi ključ seje in zažene skrivnost navideznega računalnika. To krši jamstva zaupnosti, ki jih ponuja družba SEV.
Varnost protokola ECDH je neposredno odvisna od vrstnega reda ustvarjene začetne točke krivulje, katere diskretni logaritem je zelo zapletena naloga.
V enem od korakov za inicializacijo okolja AMD SEV se pri izračunih z zasebnim ključem uporabijo parametri, pridobljeni od uporabnika.
V bistvu se izvede postopek množenja dveh točk, od katerih ena ustreza zasebnemu ključu.
Če se druga točka nanaša na praštevila nizkega reda, lahko napadalec določi parametre prve točke (bitje modula, uporabljenega v operaciji eksponentiranja po modulu), tako da navede vse možne vrednosti. Izbrane drobce praštevil lahko kombiniramo za določitev zasebnega ključa s pomočjo kitajskega izreka o ostankih.
Napad neveljavne krivulje je, če se množenje ECDH točk izvede na drugi krivulji - različnih parametrih (a, b). To je mogoče v kratki Weierstrassovi funkciji vsote točk, ker se parameter "b" ne uporablja.
Na tej krivulji ima točka majhen primarni red. S preizkusom vseh možnih vrednosti za majhno točko naročila lahko napadalec pridobi zasebne skalarne bite (modulira vrstni red).
Težave predstavljajo strežniške platforme AMD EPYC, ki uporabljajo vdelano programsko opremo SEV do različice 0.17 build 11.
AMD je že izdal posodobitev vdelane programske opreme, ki je dodal zaklep za uporabo točk, ki se ne ujemajo z krivuljo NIST.
Hkrati ostanejo veljavna predhodno ustvarjena potrdila za ključe PDH, ki omogočajo napadalcu, da izvede napad na migracijo navideznega računalnika iz okolij, ki so zaščitena pred ranljivostjo v tistih, ki so predmet težave.
Omenjena je tudi možnost izvedbe povratnega napada na različico vdelane programske opreme prejšnje ranljive različice, vendar ta funkcija še ni potrjena.