ஆப்பிள் சிலிக்கான் CPUகளில் புதிய "GoFetch" தாக்குதல் கிரிப்டோ விசைகளை வெளிப்படுத்துகிறது
பல்வேறு அமெரிக்கப் பல்கலைக்கழகங்களின் ஆராய்ச்சியாளர்களின் கூட்டமைப்பானது, ஆப்பிள் சிலிக்கான் CPUகளின் பாதுகாப்பை மீறும் ஒரு புதுமையான முறையை வெளிச்சம் போட்டுக் காட்டியது, இது முக்கியமான கிரிப்டோகிராஃபிக் விசைகளை வெளிப்படுத்துகிறது. "GoFetch" தாக்குதல் என்று அழைக்கப்படும், இந்தச் சுரண்டல் ஆப்பிள் CPU அமைப்புகளில் மைக்ரோஆர்கிடெக்ச்சுரல் பாதிப்பை குறிவைக்கிறது, இது குறியாக்க செயல்பாடுகளில் பயன்படுத்தப்படும் குறியாக்க விசைகளை பிரித்தெடுக்க உதவுகிறது.
GoFetch தாக்குதல் மைக்ரோ ஆர்க்கிடெக்சரல் சைட்-சேனல் தாக்குதலாக வகைப்படுத்தப்பட்டுள்ளது, இது இலக்கு சாதனத்திற்கு உடல் அணுகல் தேவைப்படுகிறது. நிரல் உள்ளடக்கத்திலிருந்து நினைவக முகவரிகளை முன்கூட்டியே பெறுவதன் மூலம் கணினி செயல்திறனை மேம்படுத்த வடிவமைக்கப்பட்ட தரவு நினைவகம் சார்ந்த ப்ரீஃபெட்சர் (DMP) எனப்படும் வன்பொருள் மேம்படுத்தல் அம்சத்தை இது பயன்படுத்துகிறது.
கிரிப்டோகிராஃபிக் செயல்பாடுகளுக்கு நுணுக்கமாக வடிவமைக்கப்பட்ட உள்ளீடுகளைப் பயன்படுத்துவதன் மூலம், இரகசிய விசைகளை அதிகரிக்கும் வகையில் ஊகிக்க DMPயின் நடத்தையைப் பயன்படுத்திக் கொள்ளலாம் என்று ஆராய்ச்சியாளர்கள் கண்டுபிடித்தனர். இந்த முறை தாக்குபவர்களை குறியாக்க விசைகளை படிப்படியாக புரிந்து கொள்ள உதவுகிறது, இது நிலையான நேர குறியாக்க செயலாக்கங்களைப் பயன்படுத்தும் அமைப்புகளின் பாதுகாப்பை சமரசம் செய்கிறது.
OpenSSL Diffie-Hellman Key Exchange, Go RSA மற்றும் CRYSTALS-Kyber மற்றும் CRYSTALS-Dilithium போன்ற பிந்தைய குவாண்டம் அல்காரிதம்கள் உட்பட GoFetch தாக்குதல்களுக்கு பல கிரிப்டோகிராஃபிக் நெறிமுறைகள் பாதிக்கப்படுவது கண்டறியப்பட்டது. தாக்குதல் முறையானது 2022 இல் வெளிப்படுத்தப்பட்ட ஆகுரி எனப்படும் முந்தைய சுரண்டலின் அடித்தளத்தை அடிப்படையாகக் கொண்டது.
ஆராய்ச்சியாளர்களால் நடத்தப்பட்ட சோதனைகள், M1 செயலிகளுடன் கூடிய Apple Mac கணினிகளில் வெற்றிகரமான GoFetch தாக்குதல்களை உறுதி செய்தன. மேலும், M2 மற்றும் M3 செயலிகள் போன்ற Apple CPUகளின் அடுத்தடுத்த மறு செய்கைகளும் இந்தச் சுரண்டலுக்கு ஆளாகக்கூடும் என்பதற்கான சான்றுகள் உள்ளன. டிஎம்பியைக் கொண்ட ஒரு இன்டெல் செயலி மதிப்பிடப்பட்டாலும், அது இத்தகைய தாக்குதல்களுக்கு எதிராக அதிக பின்னடைவைக் காட்டியது.
இந்த கண்டுபிடிப்புகள் டிசம்பர் 2023 இல், OpenSSL, Go Crypto மற்றும் CRYSTALS போன்ற தொடர்புடைய டெவலப்பர்களுடன் ஆப்பிள் நிறுவனத்திற்கு அறிவிக்கப்பட்டது. நிறுவனம் தற்போது இந்த சிக்கலை ஆராய்ந்து வருகிறது, இருப்பினும் அதை விரிவாக நிவர்த்தி செய்வது குறிப்பிடத்தக்க சவால்களை முன்வைக்கிறது. முன்மொழியப்பட்ட எதிர் நடவடிக்கைகளில் வன்பொருள் மாற்றங்கள் அல்லது செயல்திறன்-பாதிப்புத் தணிப்பு ஆகியவை அடங்கும்.
ஆராய்ச்சியாளர்கள் தங்கள் கண்டுபிடிப்புகளை ஒரு விரிவான தாளில் ஆவணப்படுத்தியுள்ளனர் மற்றும் கருத்துக்கான ஆதாரம் (PoC) குறியீட்டை வெளியிட திட்டமிட்டுள்ளனர். கூடுதலாக, முக்கிய பிரித்தெடுத்தல் சுரண்டலைக் காண்பிக்கும் வீடியோ ஆர்ப்பாட்டம் வரவிருக்கிறது.