Avatar von Lars Rohwedder
  • Lars Rohwedder

mehr als 1000 Beiträge seit 19.05.2000

Das Problem ist ein anderes:

Bei AES-NI "weiß" die CPU, dass sie gerade AES berechnet und in welchen Registern sich z.B. die interessanten Daten befinden. Das macht es im Mikrocode trivial einfach, diese Daten gezielt zu leaken.

Rechnet die CPU dagegen an einem anderen Chiffrieralgorithmus, für den es keine eignenen Maschinenbefehle gibt, ist das für den Mikrocode alles andere als einfach, dieses zu erkennen.

Das heißt nicht, dass das unmöglich wäre, ich halte es nur für deutlich aufwändiger, während bei AES-NI diese Daten der CPU gezielt auf dem Silbertablett geliefert werden.

Somit ist es sowohl für die CPU ein leichtes, diese Daten z.B. heimlich in bestimmten Stellen des RAM oder CPU-Caches abzulegen und für die On-Die-NIC diese dort abzuholen und aus ihr die Sequenz-Nummer der TCP-SYN-Pakete du generieren (anstatt eine zufällige Nummer zu generieren). Oder die CPU generiert bei einem RDRAND, das vom Netzwerkkartentreiber aufgerufen wird, "nicht ganz so zufällige Zufallszahlen", was einem Angreifer, der davon weiß, ggf. die zuvor verwendeten AES-NI-Keys verrät.

Erkennen kann man solche Dinge von außen nicht.

L.

Bewerten
- +
Anzeige