एप्पल सिलिकन CPU मा नयाँ "GoFetch" आक्रमणले क्रिप्टो कुञ्जीहरू उजागर गर्दछ

अमेरिकाका विभिन्न विश्वविद्यालयका अन्वेषकहरूको सङ्घद्वारा गरिएको भर्खरको खुलासाले एप्पल सिलिकन सीपीयूहरूको सुरक्षालाई उल्लङ्घन गर्ने एउटा नयाँ विधिमा प्रकाश पारेको छ, सम्भावित रूपमा संवेदनशील क्रिप्टोग्राफिक कुञ्जीहरू उजागर गर्दै। "GoFetch" आक्रमण भनिन्छ, यो शोषणले क्रिप्टोग्राफिक अपरेसनहरूमा प्रयोग हुने ईन्क्रिप्शन कुञ्जीहरूको निकासीलाई सहज बनाउँदै Apple CPU प्रणालीहरूमा माइक्रोआर्किटेक्चरल कमजोरीलाई लक्षित गर्दछ।

GoFetch आक्रमणलाई माइक्रोआर्किटेक्चरल साइड-च्यानल आक्रमणको रूपमा वर्गीकृत गरिएको छ, लक्षित उपकरणमा भौतिक पहुँच आवश्यक छ। यसले डाटा मेमोरी-डिपेन्डेन्ट प्रिफेचर (DMP) को रूपमा चिनिने हार्डवेयर अप्टिमाइजेसन सुविधामा क्यापिटलाइज गर्छ, कार्यक्रम सामग्रीबाट मेमोरी ठेगानाहरू ल्याएर प्रणालीको कार्यसम्पादन बढाउन डिजाइन गरिएको।

अन्वेषकहरूले पत्ता लगाए कि क्रिप्टोग्राफिक अपरेसनहरूको लागि सावधानीपूर्वक क्राफ्ट गरिएको इनपुटहरू प्रयोग गरेर, उनीहरूले गोप्य कुञ्जीहरू बढ्दो रूपमा अनुमान गर्न DMP को व्यवहारको शोषण गर्न सक्छन्। यो विधिले आक्रमणकर्ताहरूलाई क्रमशः इन्क्रिप्शन कुञ्जीहरू बुझ्न सक्षम बनाउँछ, सम्भावित रूपमा स्थिर-समय क्रिप्टोग्राफिक कार्यान्वयनहरू प्रयोग गर्ने प्रणालीहरूको सुरक्षामा सम्झौता गर्दै।

OpenSSL Diffie-Hellman Key Exchange, Go RSA, र CRYSTALS-Kyber र CRYSTALS-Dilithium जस्ता पोस्ट-क्वान्टम एल्गोरिदमहरू सहित धेरै क्रिप्टोग्राफिक प्रोटोकलहरू GoFetch आक्रमणहरूको लागि कमजोर भएको फेला पर्यो। आक्रमण पद्धतिले अघिल्लो शोषण अगुरीले राखेको आधारमा निर्माण गर्दछ, जुन २०२२ मा खुलासा गरिएको थियो।

अनुसन्धानकर्ताहरूद्वारा गरिएका परीक्षणहरूले M1 प्रोसेसरहरूले सुसज्जित एप्पल म्याक प्रणालीहरूमा सफल GoFetch आक्रमणहरू पुष्टि गरे। यसबाहेक, त्यहाँ M2 र M3 प्रोसेसरहरू जस्ता Apple CPU हरूको पछिल्ला पुनरावृत्तिहरू पनि यस शोषणको लागि संवेदनशील हुनसक्छन् भनी सुझाव दिने प्रमाणहरू छन्। यद्यपि DMP को विशेषता रहेको इंटेल प्रोसेसरको मूल्याङ्कन गरिएको थियो, यसले त्यस्ता आक्रमणहरू विरुद्ध ठूलो लचिलोपन प्रदर्शन गर्‍यो।

Apple लाई डिसेम्बर 2023 मा OpenSSL, Go Crypto र CRYSTALS जस्ता सान्दर्भिक विकासकर्ताहरूसँग यी निष्कर्षहरूको बारेमा सूचित गरिएको थियो। कम्पनीले हाल यस मुद्दाको अनुसन्धान गरिरहेको छ, यद्यपि यसलाई व्यापक रूपमा सम्बोधन गर्न महत्त्वपूर्ण चुनौतीहरू छन्। प्रस्तावित काउन्टरमेजरहरूमा या त हार्डवेयर परिमार्जनहरू वा कार्यसम्पादन-प्रभावकारी न्यूनीकरणहरू समावेश हुन्छन्।

शोधकर्ताहरूले आफ्नो निष्कर्षलाई विस्तृत कागजमा दस्तावेज गरेका छन् र प्रमाण-अवधारणा (PoC) कोड जारी गर्ने योजना बनाएका छन्। थप रूपमा, कुञ्जी निकासी शोषण प्रदर्शन गर्ने भिडियो प्रदर्शन आगामी छ।