新型侧信道漏洞可窃取加密密钥，影响所有Intel和AMD处理器

最近的网络安全研究中发现，英特尔和AMD的CPU处理器曝出了安全漏洞，利用该漏洞远程攻击者可以通过电源侧信道攻击来窃取加密密钥。

网络安全研究人员将该漏洞命名为 Hertzbleed ，漏洞的根源在于动态电压和频率缩放 ( DVFS )，这是一种处理器的电源和热管理功能，用于保持处理器的功率并减少芯片的发热量。

在某些情况下，周期性的 CPU 频率调整取决于当前的 CPU 功耗，而这些调整直接转化为执行时间差异（如 1 赫兹 = 1 个周期每秒），即使正确实施为恒定时间代码以防止基于时间的侧信道，这也可能对加密库产生重大的安全影响，从而有效地使攻击者能够利用执行时间变化来提取敏感信息，例如加密密钥等。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，该漏洞已被英特尔和AMD进行针对性调查并发布了公告，在英特尔的漏洞号为CVE-2022-24436，在AMD的漏洞号为CVE-2022-23823，英特尔表示目前所有的intel处理器都受到该 Hertzbleed 漏洞的影响，目前英特尔和AMD均表示没有修补方案。

由于该漏洞影响具有基于功率分析的侧信道泄漏的加密算法，因此开发人员可以对算法的软件层代码实现进行一定的防护措施，可以通过使用隐藏密钥或密钥轮换来缓解攻击风险。

英特尔表示该漏洞无法在实验环境之外被利用，这不是第一次发现从英特尔处理器中抽取数据的攻击手段，本次Hertzbleed漏洞的研究人员在去年展示了针对英特尔 Coffee Lake 和 Skylake 处理器中使用的环形互连的侧信道攻击方法。