Skip to content

WireTap (DDR4 interposer SGX, 2025)

Intel SGX'in deterministic DDR4 ciphertext'ini pasif olarak yakalayan ve ciphertext↔plaintext sözlükleri inşa ederek Quoting Enclave'in ECDSA attestation key'ini recover eden — SGX remote attestation'ı kıran — fiziksel bir memory-bus interposer saldırısı.

Mechanism

Bug class / invariant

Intel SGX, DRAM'deki enclave memory'sini, etkilenen platformlarda deterministic (physical address ile key'lenen AES-XTS) bir memory encryption engine'iyle korur: aynı physical address'teki özdeş plaintext her zaman özdeş ciphertext verir. Confidentiality invariant'ı, encrypted memory bus'ını gözleyen bir attacker'ın işe yarar hiçbir şey öğrenmediğini varsayar. WireTap, CPU ile bir DDR4 DIMM arasına ciphertext trafiğini kaydetmek için pasif bir hardware interposer yerleştirerek bunu kırar. Determinism, gözlenen ciphertext'i plaintext'in kararlı bir fingerprint'ine çevirir, böylece attacker ciphertext-to-value sözlükleri inşa eder ve secret'a bağlı değerleri —bir ECDSA nonce dahil— recover eder; bu da uzun ömürlü attestation signing key'e götürür. O key ile bir attacker SGX attestation'larını forge edebilir.

Walkthrough

Üst düzey, WireTap/TEE.fail disclosure'undan (2025):

  1. DIMM'i (SPD'yi değiştirerek) daha düşük bir DDR4 hızına down-clock et ki mütevazı bir logic analyzer bus'ı sample edebilsin; memory bus'ına pasif bir interposer yerleştir.
  2. Hedef enclave çalışırken seçilen physical address'ler için ciphertext kaydet.
  3. Ciphertext block'larını geri plaintext'e map'lemek için deterministic encryption'ı sömür (bilinen/zorlanan değerlerden sözlük inşası).
  4. Quoting Enclave'in imzasının kullandığı ECDSA nonce'unu recover et, sonra private attestation key'i türet — gerçek SGX hardware'inin taklit edilmesini mümkün kılar.
Maliyet / kapsam notu

Raporlanan kurulum maliyeti ~1.000$ (logic analyzer dahil); takip eden TEE.fail çalışması memory-bus interposition'ını DDR5 ve Intel TDX'e genişletti.

Detection

  • Pasif bus interposition çok az software'de görünür iz bırakır; detection, fiziksel ve attestation-policy odaklıdır.
  • Chassis/DIMM tamper detection, tamper-evident mühürler ve fiziksel erişim kontrolleri kullan; beklenmedik DIMM SPD/timing değişikliklerini (down-clocking) şüpheli olarak değerlendir.
  • Verifier'da, forge edilmiş quote'ları gösterebilecek attestation anomalilerini (beklenmedik platform popülasyonları, key reuse) izle.

Mitigation

  • Confidential-computing host'larını fiziksel olarak koru; bus erişimine sahip bir attacker'a karşı deterministic memory encryption'ın kırıldığını varsay.
  • Intel'in rehberini/güncellemelerini uygula; expose olduğu düşünülen attestation key'lerini rotate/revoke et ve attestation verification policy'lerini sıkılaştır.
  • Fiziksel düşmanlarla karşı karşıya olan workload'lar için non-deterministic (nonce/counter-based) memory encryption'a sahip platformları tercih et; değerin kendisi leak olduğundan constant-time kod yardımcı olmaz.

References