Hertzbleed
 | Bu madde, öksüz maddedir; zira herhangi bir maddeden bu maddeye verilmiş bir bağlantı yoktur. (Eylül 2022) |
 Hertzbleed'i simgeleyen logo
| |
| CVE kimliği | CVE-2022-24436 (Intel), CVE-2022-24436 (AMD) |
|---|---|
| Tespit edilen tarih | 14 Haziran 2022'de resmen duyuruldu |
| Düzeltilme tarihi | Herhangi bir yama planlanmıyor |
| Etkilenen donanım | Dinamik voltaj frekans ölçekleme (DVFS) özelliğini kullanan işlemciler |
| İnternet sitesi | hertzbleed.com |
Hertzbleed, gizli verileri açığa çıkarmak için dinamik frekans ölçekleme özelliğini istismar etmeyi tanımlayan teorik bir donanımsal güvenlik saldırısıdır. Önceki güç analizi açıklarıyla benzerlik gösteren bu saldırı, bir zamanlama saldırısıdır. Hertzbleed, uzaktaki bir saldırgan tarafından istismar edilebildiği için güç analizi saldırılarından daha tehlikelidir. Bu istirmarla ilgili ana endişe, kriptografik anahtarların açığa çıkmasıdır.[1][2][3]
Bu istismarın Intel ve AMD işlemcilerinde çalıştığı doğrulanmıştır, Intel'in güvenlik duyurusu tüm Intel işlemcilerin bu istismardan etkilendiğini belirtmektedir. Frekans ölçeklemeyi kullanan başka işlemciler de bulunmaktadır ancak bu saldırı bu işlemciler üzerinde denenmemiştir.
Intel ve AMD bu güvenlik açığıyla ilgili mikrokod yamaları yayınlamayı planlamamaktadır, bunun yerine kriptografi dosyalarının bu açığa karşı sağlamlaştırılması önerilmiştir.
İşleyiş
[değiştir | kaynağı değiştir]Normal zamanlama saldırıları, giriş verisinden bağımsız olarak her komutun eşit sürede gerçekleşmesini sağlayan sabit zamanlı programlama kullanılarak hafifletilebilir. Hertzbleed, bir zamanlama saldırısını bir güç analizi saldırısıyla birleştirir. Güç analizi saldırısı, işlenen veriye ulaşmak için işlemcinin güç tüketimini ölçer; ancak bu, saldırganın güç tüketimini ölçme kabiliyetine sahip olmasını gerektirir.
Hertzbleed, güç tüketimi ve sıcaklık sınırlarını dengelemek için işlemcinin frekansını değiştiren bir işlemci özelliği olan dinamik frekans ölçekleme özelliğinin sebep olduğu yürütüm süresi farklılıklarını istismar eder. İşlemcinin frekansı güç tüketimine göre sıklıkla değişiklik gösterdiği için, ayrıca veriye göre de değişiklik gösterir, uzaktaki bir saldırgan yürütüm süresinden işlenen veriye ulaşabilir. Bu nedenle Hertzbleed, işlemci frekansındaki değişikliklerle ilişkisi olmayan sabit zamanlı programlamayı başarılı bir şekilde atlatır.[1]
Ayrıca bakınız
[değiştir | kaynağı değiştir]Kaynakça
[değiştir | kaynağı değiştir]- ^ a b Goodin, Dan (14 Haziran 2022). "A new vulnerability in Intel and AMD CPUs lets hackers steal encryption keys". Ars Technica. 14 Haziran 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Haziran 2022.
- ^ "Hertzbleed Attack". Hertzbleed Attack. 15 Haziran 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Haziran 2022.
- ^ Gatlan, Sergiu. "New Hertzbleed side-channel attack affects Intel, AMD CPUs". Bleeping Computer. 14 Haziran 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Haziran 2022.