普渡大学与乔治亚理工学院研究团队公开WireTap研究论文,披露一种利用DDR4 DRAM总线插接与窃听的实例,能在仅具备基本电工工具与市售零件的前提下,监看服务器内存往返总线的加密流量,在单次审核签章流程中,通过恢复该次ECDSA签章所用的Nonce,进而推得SGX Quoting Enclave的ECDSA私钥,进而签发可被官方验证程序接受的伪造审核报告,动摇依赖SGX远程审核创建的信任链。
WireTap做法是在主板与DDR4内存模块之间放置被动转接器,接上逻辑分析仪以观测加密后的DRAM读写。研究人员指出,服务器平台上与SGX相关的内存加密采用决定性加密(Deterministic Encryption),让同一明文在相同场景下对应固定密文,攻击者因而能创建密文与明文的映射关系,对常数时间的密码运算产生可利用的消息泄露。
在此基础上,研究团队展示了对SGX Quoting Enclave的完整密钥恢复,取得ECDSA签章密钥后可签出任意SGX报告。研究团队提供伪造的SGX Quote与验证脚本,证明该审核报告(Quote)能被Intel的DCAP Quote Verification Library接受,且报告中不可能出现的测量值仍被判定为可信状态。
研究同时评估实际系统的风险,在Secret Network个案中,研究团队于测试网通过伪造审核报告加入节点并取得共识种子(Consensus Seed),进而解密交易内容。对Phala与Crust,论文说明可分别伪装可信执行环境以访问数据,或伪造存储以领取奖励。Integritee因其注册与信任机制依赖SGX审核,也可被伪装节点滥用。上述影响均源自审核链可被伪造,并非破坏共识协议本身。
WireTap的实例门槛并不高,团队表示整套设备成本低于1,000美元,材料一般市面可取得,且不需要实验室等级环境,强化了此攻击在实务面的可行性。
影响范围以第3代Intel Xeon Scalable处理器为主,研究称较早期的Core与Xeon-E因采用不同的内存加密引擎而不受此技术影响,Xeon-D仍未确定,第4与第5代Xeon需搭配DDR5,并不在此次研究可利用的范围。
侦测难度上,研究指出一旦攻击完成,伪造的SGX审核报告与合法者难以区分,事后几乎无从识别,目前未见野外使用迹象。
Intel于9月30日发布说明,指称WireTap与同期Battering RAM研究皆假设攻击者具备以总线插接取得物理近端的能力,属AES-XTS式内存加密保护边界之外,因此不计划指派CVE。
Intel建议在支持的处理器上激活Intel TME-MK(Total Memory Encryption-Multi-Key)的加密完整性保护模式,以对抗如Battering RAM等别名式(Alias-based)攻击,该功能已在第5代Xeon(Emerald Rapids)与Xeon 6 P-cores(Granite Rapids)提供。同时提醒验证端应理解受信平台的实体保护属性,平台拥有者可在审核过程借由平台凭证识别并证明控制的硬件环境。
