zurück zum Artikel

Verschlüsselung: GnuPG bremst neuen Seitenkanalangriff

Jürgen Schmidt

Australische Forscher haben aufgezeigt, wie man prinzipiell von einer Virtuellen Maschine aus die Schlüssel einer anderen auf demselben PC ausspionieren kann. Ein GnuPG-Update erschwert das jetzt zumindest.

Australische Forscher zeigen in einer aktuellen Veröffentlichung, wie man prinzipiell von einer Virtuellen Maschine aus die Schlüssel einer zweiten VM auf demselben PC ausspionieren kann. Ein GnuPG-Update erschwert das jetzt zumindest.

Bei Intels Ivy Bridge teilen sich alle Cores einen gemeinsamen L3-Cache.

(Bild: Yarom, Falkner [1] )

Yuval Yarom und Katrina Falkner verwenden in Flush+Reload: a High Resolution, Low Noise, L3 Cache Side-Channel Attack [2] einen klassischen Seitenkanalangriff: Auf bestimmten CPUs teilen sich die aktiven Virtuellen Maschinen den Level-3-Cache (L3). Zwar kann ein Programm nicht ohne weiteres den L3-Cache auslesen; doch durch gezielte Speicherzugriffe kann es durch Messen der Zugriffszeiten feststellen, ob sich bestimmter Code derzeit im L3-Cache befindet oder aus dem Hauptspeicher geladen werden muss.

Hinzu kommt, dass durch eine speicherplatzsparende Funktion namens Memory De-Duplication [3] beispielsweise zwei Instanzen eines Verschlüsselungsprogramms unter Umständen nur einmal im Speicher liegen. Ganz grob vereinfacht kann ein Programm somit herausfinden, welche Code-Sequenzen in der Nachbar-VM gerade aktiv sind. Durch eine spezielle Technik, die die Australier "Flush+Reload" nennen, können die Forscher damit dann über 98 Prozent des geheimen Schlüssels einer Verschlüsselungsoperation ausspionieren, die in einer anderen VM stattfindet. Sie demonstrierten dies mit der verbreiteten Verschlüsselungs-Software GnuPG.

Deren Autor Werner Koch hat jetzt als Reaktion auf diese Forschungsergebnisse die Version GnuPG 1.4.14 als Security-Fix [4] veröffentlicht, die den Angriff zumindest deutlich erschweren soll. Ganz verhindern lassen sich Seitenkanalangriffe auf Multi-User-Systemen -- und somit auch auf Systemen mit mehreren parallel aktiven VMs -- grundsätzlich nicht (siehe etwa Hey, You, Get Off of My Cloud: Exploring Information Leakage in Third-Party Compute Clouds [5]). Sie sind auch keineswegs auf GnuPG beschränkt; bereits 2010 demonstrierten Tromer et al. in Efficient Cache Attacks on AES, and Countermeasures [6] einen verwandten Angriff namens "Prime+Probe" am Beispiel der Dmcrypt-Verschlüsselung in Linux. (ju [7])

URL dieses Artikels:
https://www.heise.de/-1925397

Links in diesem Artikel:
[1] http://eprint.iacr.org/2013/448.pdf
[2] http://eprint.iacr.org/2013/448.pdf
[3] http://de.slideshare.net/suzaki/eurosec2011-slide-memory-deduplication
[4] http://lists.gnupg.org/pipermail/gnupg-announce/2013q3/000330.html
[5] http://pages.cs.wisc.edu/~rist/papers/cloudsec.pdf
[6] http://tau.ac.il/~tromer/papers/cache-joc-20090619.pdf
[7] mailto:ju@ct.de

Copyright © 2013 Heise Medien