Skip to main content
QUICK REVIEW

[論文レビュー] Leaky Cauldron on the Dark Land: Understanding Memory Side-Channel Hazards in SGX

Wenhao Wang, Guoxing Chen|Open MIND|May 20, 2017
Security and Verification in Computing参考文献 35被引用数 39
ひとこと要約

本論文は、Intel SGXにおけるメモリサイドチャネル脆弱性について包括的な分析を提示し、TLBからDRAMに至るまで8つの攻撃ベクトルを同定した。本研究では、アクセスフラグ、タイミング、ハイパースレーディング、クロスエンclave DRAMチャネルを用いたより静かで軽量な攻撃を実証した。既存のページフォールト攻撃に対する防御は不十分であることが示され、攻撃者は同等の効果を持つ代替チャネルを用いてそれらを回避可能であることが明らかになった。

ABSTRACT

Side-channel risks of Intel's SGX have recently attracted great attention. Under the spotlight is the newly discovered page-fault attack, in which an OS-level adversary induces page faults to observe the page-level access patterns of a protected process running in an SGX enclave. With almost all proposed defense focusing on this attack, little is known about whether such efforts indeed raise the bar for the adversary, whether a simple variation of the attack renders all protection ineffective, not to mention an in-depth understanding of other attack surfaces in the SGX system. In the paper, we report the first step toward systematic analyses of side-channel threats that SGX faces, focusing on the risks associated with its memory management. Our research identifies 8 potential attack vectors, ranging from TLB to DRAM modules. More importantly, we highlight the common misunderstandings about SGX memory side channels, demonstrating that high frequent AEXs can be avoided when recovering EdDSA secret key through a new page channel and fine-grained monitoring of enclave programs (at the level of 64B) can be done through combining both cache and cross-enclave DRAM channels. Our findings reveal the gap between the ongoing security research on SGX and its side-channel weaknesses, redefine the side-channel threat model for secure enclaves, and can provoke a discussion on when to use such a system and how to use it securely.

研究の動機と目的

  • 既知のページフォールト攻撃を超えた、Intel SGXにおけるメモリサイドチャネル脅威を体系的に分析すること。
  • TLB、キャッシュ、DRAMを含む、SGXのメモリ管理におけるこれまで見過ごされてきた攻撃ベクトルを同定・評価すること。
  • 既存のページフォールト攻撃向け防御が、新たな静かで洗練されたサイドチャネル技術に対して無力であることを実証すること。
  • 現行のSGXセキュリティ研究と、微細なモニタリングおよび高周波度の情報漏洩という現実のサイドチャネルリスクとの間のギャップを明らかにすること。
  • 複数のチャネルを組み合わせた低コストで高精度な攻撃の実現可能性を示すことにより、セキュアエンclaveの脅威モデルを再定義すること。

提案手法

  • ページテーブル、TLB、キャッシュ、DRAMモジュールを含むSGXのメモリ管理コンponentsの体系的逆解析と脅威モデル構築。
  • ページフォールトを回避し、AEXの発生頻度を低減するため、PTEのアクセス/ダーティフラグを活用した新しいサイドチャネル攻撃の設計と評価。
  • キャッシュサイドチャネル技術(例:Flush+Reload)とクロスエンclave DRAMアクセスパターンを組み合わせ、64バイト単位の微細なモニタリングを可能にした。
  • ハイパースレーディングを用いてTLBフラッシュとタイミングサイドチャネルを誘発し、静かで低コストの情報漏洩を実現した。
  • 新規ページチャネルおよびDRAMベースのチャネルを通じてEdDSA秘密鍵の漏洩を測定し、攻撃の有効性を評価した。
  • T-SGXやDÉJÀ VUといった既存防御に対する耐性、割り込み頻度、盗難検知のしやすさの観点から、新規攻撃と既知のページフォールト攻撃を比較した。

実験結果

リサーチクエスチョン

  • RQ1Intel SGXにおけるページフォールト以外の、メモリサイドチャネル攻撃ベクトルの全範囲は何か?
  • RQ2PTEのアクセスフラグを活用することで高頻度のAEXを回避し、高精度な情報漏洩を維持しつつ、サイドチャネル攻撃をより静かにできるか?
  • RQ3T-SGX や DÉJÀ VU といった既存防御は、DRAM やキャッシュを介した代替サイドチャネルに対してどの程度無力化されるか?
  • RQ4キャッシュサイドチャネルとクロスエンclave DRAMサイドチャネルを組み合わせることで、64バイト単位の微細なエンclave実行モニタリングが可能か?
  • RQ5新規攻撃と従来のページフォールト攻撃とを、検知のされやすさと情報漏洩レートの観点から比較した場合、それぞれの有効性はどの程度か?

主な発見

  • TLBからDRAMモジュールまで、8種類の異なるメモリサイドチャネル攻撃ベクトルがSGXで同定され、既知の脅威表面が著しく拡大された。
  • PTEアクセスフラグを活用することで高頻度のAEXを回避する新しいページチャネル攻撃が実証され、従来のページフォールト攻撃よりも静かであることが明らかになった。
  • キャッシュサイドチャネル技術とクロスエンclave DRAMアクセスパターンを組み合わせることで、64バイト単位の微細なモニタリングが可能である。
  • 新規攻撃はページフォールト攻撃と同等の情報漏洩効果を達成しているが、割り込み頻度が低いため検知リスクが低減されている。
  • T-SGX や DÉJÀ VU といった既存防御は、キャッシュやDRAMベースのサイドチャネルに対して保護機能を果たさないため、新規攻撃ベクトルに対して無力である。
  • 本研究は、現行のSGXセキュリティ研究と、実際のサイドチャネル脆弱性との間の重要なギャップを明らかにした。特に、防御メカニズムの設計における課題が顕在化された。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。