Intel-VerschlĂĽsselungstechnik SGX: Root-Key ausgelesen, Angriff unwahrscheinlich
Ein Experte ĂĽberwand alle Schutzvorrichtungen gegen das Auslesen des zentralen SGX-SchlĂĽssels aus einer Intel-CPU, aber praktisch hat das wenig Bedeutung.
Mark Ermolov von der russischen IT-Sicherheitsfirma Positive Technologies meldet via X, er habe einen zentralen Schutzbaustein von Intels Software Guard Extensions (SGX) überwunden. Denn es sei ihm nach mehreren Jahren Tüftelei nun gelungen, den Root Provisioning Key (RPK) aus einem Intel-Prozessor auszulesen. Dieser bilde zusammen mit dem Root Sealing Key (RSK) den SGX-Vertrauensanker (Root of Trust, RoT). Auch der RSK ist laut Ermolov „kompromittiert“.
Das klingt zunächst nach einem hohen Sicherheitsrisiko für Intel SGX, zumal die Technik die Basis für Confidential Computing auf Cloud-Servern mit Intel-Xeon-Prozessoren bildet. Dort dienen SGX-Enklaven als besonders geschützte Trusted Execution Environments (TEEs) zur Verarbeitung sensibler Daten. Intel empfiehlt die Technik etwa für die elektronische Patientenakte (ePA).
Lücke längst gestopft
Intel wiegelt aber ab und nennt nachvollziehbare Argumente. Denn Mark Ermolov habe den SGX-RPK nur bei einem seit mehreren Jahren abgekĂĽndigten Billigprozessor der Baureihe Celeron J/N ausgelesen. AuĂźerdem hatte er dabei physischen Zugriff auf das System und nutzte mehrere SicherheitslĂĽcken aus, fĂĽr die laut Intel bereits seit 2017 Patches bereitstehen. FĂĽr aktuelle Confidential-Computing-Server ist der von Ermolov demonstrierte Zugriff folglich nicht relevant.
Jahrelanges Hacken
Ermolov tĂĽftelt seit rund sieben Jahren daran, in eigentlich geschĂĽtzte Bereiche von Intel-Prozessoren vorzudringen. Dabei hat er schon eine ganze Reihe von SicherheitslĂĽcken entdeckt, von denen Intel auch einige geschlossen hat.
Zudem stellte Ermolov zwar dokumentierte, aber öffentlich zuvor wenig bekannte Funktionen von Intel-Prozessoren ins Rampenlicht. Dazu gehört das interne Debugging-System Trace Hub (Intel TH), zu dem auch ein Logic Analyser gehört (Visualization of Internal Signals Architecture, VISA). Der TH ist über den in Intel-SoCs integrierten USB-3.x-Controller nutzbar – allerdings wie man erwarten würde selbstverständlich nur im Debugging-Modus des Prozessors. Dieser ist eigentlich nur für Hardware-Entwickler zugänglich, die mit Intel entsprechende Verträge geschlossen haben. Ermolov hat bei den Gemini-Lake-Celerons auch diesen Schutz überwunden.
SchlĂĽssel-Hierarchie
Bei Intel selbst findet sich heutzutage keine Dokumentation (mehr) zum Root Provisioning Key (RPK). Die Grafik oben stammt aus einem vier Jahre alten Dokument von Microsoft Frankreich.
Für SGX ist letztlich vor allem der aus dem RPK und dem RSK abgeleitete Provisioning Certification Key (PCK) wichtig. Diesen signiert Intel, um Remote Attestation für SGX-TEEs zu ermöglichen, aber auch den Rückruf (Revocation) von kompromittierten Schlüsseln.
Laut älteren SGX-Dokumentationen erzeugt Intel den RPK individuell für jeden SGX-tauglichen Prozessor, „brennt“ ihn in einen unveränderlichen Speicherbereich des Prozessors (E-Fuses/OTP-Speicher) und lagert ihn in einem Hardware-Sicherheitsmodul (HSM) in einem geschützten Rechenzentrum. Auch der RSK ist für jede SGX-CPU individuell und in E-Fuses/OTP abgelegt, aber Intel speichert ihn nicht.
Russische Firma unter US-Embargo
Mark Ermolov (bei X: @_markel___) ist laut seinem LinkedIn-Profil „Senior Software Engineer“ bei der russischen Firma Positive Technologies (PTI). Diese steht seit Mitte 2021 auf einer Embargoliste der US-Regierung. Laut einem Bericht des US-Journalisten Kim Zetter wird PTI beschuldigt, russische Geheimdienste bei Cyberangriffen unterstützt zu haben.
(ciw)