Skip to main content
QUICK REVIEW

[논문 리뷰] CacheZoom: How SGX Amplifies The Power of Cache Attacks

Daniel Moghimi, Gorka Irazoqui|arXiv (Cornell University)|2017. 03. 20.
Security and Verification in Computing참고 문헌 9인용 수 27
한 줄 요약

CacheZoom는 Intel SGX의 하드웨어 격리에 의존하는 특성에 취약점을 노출시켜 L1 캐시 Prime+Probe 공격을 통해 은신소프트웨어 메모리 접근을 고해상도로 모니터링하는 새로운 사이드채널 공격이다. 운영체제 수준의 제어와 빈번한 작업 전환을 활용해, T-테이블 기반 구현에서 최소 10회의 측정만으로도 AES 키를 복구한다. 이는 SGX가 사전에 알려진 대응 조치(예: 프리패칭)를 사용하더라도 미세한 캐시 사이드채널 공격에 대해 보호하지 못함을 보여준다.

ABSTRACT

In modern computing environments, hardware resources are commonly shared, and parallel computation is widely used. Parallel tasks can cause privacy and security problems if proper isolation is not enforced. Intel proposed SGX to create a trusted execution environment within the processor. SGX relies on the hardware, and claims runtime protection even if the OS and other software components are malicious. However, SGX disregards side-channel attacks. We introduce a powerful cache side-channel attack that provides system adversaries a high resolution channel. Our attack tool named CacheZoom is able to virtually track all memory accesses of SGX enclaves with high spatial and temporal precision. As proof of concept, we demonstrate AES key recovery attacks on commonly used implementations including those that were believed to be resistant in previous scenarios. Our results show that SGX cannot protect critical data sensitive computations, and efficient AES key recovery is possible in a practical environment. In contrast to previous works which require hundreds of measurements, this is the first cache side-channel attack on a real system that can recover AES keys with a minimal number of measurements. We can successfully recover AES keys from T-Table based implementations with as few as ten measurements.

연구 동기 및 목표

  • Intel SGX가 하드웨어 기반 격리를 제공하더라도 여전히 캐시 사이드채널 공격에 취약한가를 조사하는 것.
  • 은신소프트웨어 메모리 접근을 고시간 해상도와 고공간 해상도로 모니터링할 수 있는 실용적인 사이드채널 공격을 개발하는 것.
  • 프리패칭 및 S-박스 최적화와 같은 일반적인 대응 조치가 SGX 은신소프트웨어 내 캐시 기반 키 복구에 얼마나 효과적인지 평가하는 것.
  • 이전에는 저항력이 있다고 여겨졌던 최적화된 AES 구현체가 SGX의 위협 모델 하에서 여전히 취약한가를 입증하는 것.
  • SGX에서 운영체제 수준의 액세스와 작업 스케줄링이 사이드채널 유출 수집의 초고정밀도를 가능하게 하는가를 보여주는 것.

제안 방법

  • CacheZoom는 피해자 은신소프트웨어를 정밀한 간격으로 중단시킬 수 있도록 수정된 운영체제 스케줄러를 사용하여, 메모리 접근 모니터링에 대한 고해상도 시간 제어를 가능하게 한다.
  • 공격자와 피해자가 동일 코어에서 스케줄링될 수 있다는 점을 이용해 L1 캐시에 대한 Prime+Probe 공격을 적용하여 은신소프트웨어가 수행하는 모든 메모리 접근을 탐지한다.
  • 운영체제의 작업 스케줄링 제어 기능과 암호화되지 않은 바이너리 코드 액세스 기능을 활용하여 캐시 접근 패턴과 암호화 연산 간의 정확한 상관관계를 설정한다.
  • 캐시 히트와 미스의 시간 및 빈도를 분석함으로써 AES 암호화 루틴 내 S-박스 룩업 순서를 재구성한다.
  • 순서가 뒤바뀐 실행과 ROB(재정렬 버퍼) 영향을 고려한 유출 모델을 사용하여, 완전히 종료되지 않은 명령어로 인해 반복적으로 관측되는 접근을 보정한다.
  • 통계 분석과 AES 알고리즘 구조에 대한 지식을 조합하여 관측된 캐시 접근 패턴에서 키 바이트를 추론한다.

실험 결과

연구 질문

  • RQ1사이드채널 공격이 Intel SGX 은신소프트웨어 내 메모리 접근을 고시간 해상도와 고공간 해상도로 모니터링할 수 있는가?
  • RQ2프리패칭 및 소형 메모리 프로필 구현과 같은 일반적인 대응 조치가 SGX 내 캐시 기반 키 복구에 얼마나 효과적인가?
  • RQ3실제 SGX 환경에서 100회의 측정 이내로 T-테이블 및 S-박스 기반 구현에서 AES 키를 복구할 수 있는가?
  • RQ4순서가 뒤바뀐 실행과 ROB 동작이 SGX 내 캐시 사이드채널 유출 모델의 신뢰성과 정확성에 어떤 영향을 미치는가?
  • RQ5운영체제 수준의 제어와 작업 전환을 악용하여 SGX 은신소프트웨어에 대한 캐시 사이드채널 공격의 정밀도를 향상시킬 수 있는가?

주요 결과

  • CacheZoom는 T-테이블 기반 구현에서 최소 10회의 측정만으로도 AES 키를 성공적으로 복구하여 이전 공격보다 훨씬 적은 횟수로 작동한다.
  • 이전에는 저항력이 있다고 여겨졌던 S-박스 기반 AES 구현체도 수백 번의 관측으로 공격 가능하여 전체 키 복구가 가능하다.
  • 사이드채널 공격을 방지하기 위해 도입된 프리패칭은 오히려 공격자에게 유리하게 작용하여 캐시 트레이스에서 라운드 경계를 더 명확히 구분할 수 있도록 한다.
  • 은신소프트웨어가 소형 메모리 프로필이나 최적화된 접근 패턴을 사용하더라도 공격은 그대로 효과를 발휘하며, 운영체제가 여전히 공격자를 모든 접근에 대해 모니터링할 수 있도록 스케줄링할 수 있다.
  • 연구 결과, 16개 키 바이트 중 12개는 수천 번의 관측으로 복구 가능하며, 나머지 바이트는 브루트 포스나 두 번째 마지막 단계 유출을 통해 복구 가능하다.
  • OpenSSL, WolfCrypt, NSS, Nettle, Libtomcrypt, Libgcrypt, MbedTLS 등 여러 암호 라이브러리가 CacheZoom에 취약한 것으로 밝혀졌으며, 이들 모두 T-테이블 또는 S-박스 기반 구현을 포함하고 있어 CacheZoom 공격에 노출되어 있다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.