$1000 и паяльник: взломать защиту серверов Intel теперь может даже любитель

Ученые из Университета Джонса Хопкинса и нескольких других вузов продемонстрировали первую в своём роде атаку на серверную реализацию Intel SGX с полным извлечением ключа DCAP-аттестации — причём с использованием оборудования стоимостью менее $1000. Эта атака ставит под угрозу не только отдельные инстансы, но и целые Web3-системы, полагающиеся на SGX как единственный источник доверия. Уязвимые платформы включают phala, secret и crust, совокупная капитализация которых превышает $135 млн.

Разработанный атакующими метод использует перехват шины памяти DRAM (DIMM interposition) для наблюдения за зашифрованным трафиком между процессором и модулями памяти DDR4. В отличие от прежних атак, требовавших лабораторного оборудования за десятки тысяч долларов, новая схема основывается на дешёвом логическом анализаторе, слоудауне памяти до 1333 MT/s и адаптере-переходнике с самодельной развязкой сигналов.

Суть атаки заключается в том, что SGX на серверных платформах Intel Xeon Scalable полагается на определённый тип шифрования — AES-XTS с tweak-функцией от физического адреса. Это шифрование является детерминированным: если один и тот же блок данных записывается по одному и тому же адресу, результат шифрования будет одинаковым. Это открывает путь к построению словарей шифротекстов и последующим атакам по совпадению значений. Используя наблюдение за памятью на ключевых этапах криптографических операций, исследователи смогли восстановить значения одноразового числа (nonce), использовавшегося для подписи ECDSA, и далее — приватный ключ аттестации.

С помощью извлечённого ключа они смогли создавать поддельные «квоты» SGX, которые выглядят как действительные и подписаны подлинным оборудованием. Это позволило им регистрировать вредоносные узлы в блокчейн-сетях, таких как phala и secret, в обход всех механизмов проверки. В результате атакующий получал доступ к закрытым данным смарт-контрактов и мог расшифровывать транзакции, которые должны были оставаться конфиденциальными. В случае с сетью crust исследователи показали, как можно эмулировать SGX-узел хранения и фальсифицировать доказательства наличия данных, получая награды за файлы, которые фактически не хранились.

Отдельно отмечается, что атака была проведена полностью этично: извлечённые ключи получены только с собственной машины авторов, а тесты на блокчейн-платформах проходили в изолированной среде. Все уязвимые стороны, включая Intel, были уведомлены заранее и признали проблему.

В заключение авторы предлагают несколько возможных путей защиты: отказ от детерминированного шифрования памяти, возврат к схемам с деревьями Меркла (Merkle Tree), усиление ограничений на допустимые узлы в сетях без разрешений и переход к распределённым системам доверия на базе MPC (многопартийных вычислений). Однако пока ни одна из этих мер не реализована массово, системы, использующие SGX в публичных блокчейнах, остаются уязвимыми для атак с физическим доступом — даже если они исходят от обычного энтузиаста, а не спецслужб.