상세 컨텐츠

본문 제목

Hertzbleed 사이드채널 공격(CVE-2022-23823, CVE-2022-24436) 발견, 원격에서 암호화 키 탈취 가능

국내외 보안동향

by 알약4 2022. 6. 16. 10:28

본문

 

 

Hertzbleed Side-Channel Attack allows to remotely steal encryption keys from AMD and Intel chips

 

Intel 및 AMD 프로세서에서 새로운 보안취약점인 Hertzbleed가 발견되었습니다. 해당 취약점을 악용하면 공격자는 원격에서 사이드 채널 공격을 통해 암호화 키를 탈취할 수 있습니다. 

 

이번에 발견된 Hertzbleed라 명명된 취약점은 DVFS(dynamic voltage and frequency scaling)에 뿌리를 두고 있습니다.  DVFS는 전력 소비 및 많은 양의 데이터를 처리할 때 CPU의 과열을 방지하기 위하여 전류를 사용하고 활동이 적은 시간동안 배터리 전원을 끄거나 전압을 강제적으로 낮춰 발열을 줄이는 기능입니다. 

Hertzbleed는 특정 상황에서 주기적인 CPU 주파수 조정은 현재 CPU 전력 소비량에 따라 달라지며 이러한 조정은 실행 시간 차이(초당 1 헤르츠 = 1 사이클)로 직접 변환되기 때문에, 현대의 x86 CPU에서 파워 사이드 채널 공격(power side-channel attacks)이 타이밍 공격으로 바뀔 수 있다는 것을 보여줍니다.

또한, Hertzbleed는 일정한 시간으로 올바르게 구현된 경우에도, 원격 타이밍 분석을 통하여 암호 코드가 유출될 수 있습니다. 

연구원들은 2014년에 발견된 Heartbleed 공격의 이름을 따 Hertzbleed라 명명하였으며, 공격자가 원격에서 전력 측정 인터페이스를 파괴하지 않고 공격 범위를 넓힐 수 있어 매우 중요하다고 말했습니다. 

 

Heartbleed를 AMD에서는 CVE-2022-23823으로, Intel에서는 CVE-2022-24436이라 명명하였습니다. 

현재 인텔과 AMD는 Heartbleed 공격을 완화하기 위해 마이크로코드를 출시할 계획이 없다고 밝혔습니다.

 

다만, Intel은 Hertzbleed를 완화하기 위한 지침을 제공하였으며, 암호화 개발자는 Intel의 지침에 따라 Hertzbleed에 대한 라이브러리 및 응용프로그램을 강화할 수 있습니다. 

 

자세한 내용은 공식 보안권고(IntelAMD)에서 참고하실 수 있습니다.

 

 

 

 

 

참고 : 

https://www.hertzbleed.com/

https://securityaffairs.co/wordpress/132316/hacking/hertzbleed-side-channel-attack-allows-to-remotely-steal-encryption-keys-from-amd-and-intel-chips.html

관련글 더보기

댓글 영역