TEE.Fail侧信道攻击可破解CPU可信执行环境机密

学术研究人员开发了一种名为TEE.Fail的侧通道攻击技术，可以从CPU的可信执行环境（系统中安全性极高的区域）中提取机密信息，涉及Intel的SGX和TDX技术以及AMD的SEV-SNP技术。

这种攻击方式是对DDR5系统的内存总线入侵攻击，人们不需要芯片级的专业知识来升级。

可信执行环境(TEE) 是主机处理器内的“机密计算”硬件，可保护敏感数据的机密性和完整性，例如身份验证和授权过程中使用的加密密钥。该环境与操作系统隔离，并创建受保护的内存区域，以确保代码和数据可以安全运行。

研究人员指出，由于最新一代硬件的架构设计权衡，英特尔SGX、TDX 和AMD SEV-SNP 的现代实现不再像宣传的那样安全。

具体来说，可信执行环境已从客户端CPU 扩展到使用DDR5 内存的服务器级硬件。此类硬件采用确定性AES-XTS 内存加密技术，同时去除内存完整性保护和重放保护机制，以追求性能和可扩展性。

研究人员通过实验证实，这些缺陷可以被利用来实现密钥提取和身份验证伪造。 TEE.Fail是第一个基于DDR5的密文攻击技术，延续了之前针对WireTap、BattingRAM等DDR4内存的攻击研究。

1. 攻击实施过程及技术细节该攻击需要满足两个前提：一是对目标设备具有物理访问权限，二是具有修改内核驱动程序所需的根级权限。研究人员在一篇技术论文中解释说，他们通过将系统内存时钟降低至3200 MT/s (1.6 GHz) 来实现对信号的可靠捕获。

窥探设备（右）和目标（左）

具体操作是连接注册内存（RDIMM）适配卡以及DDR5内存模块（DIMM）与主板之间定制的探针隔离网络。

将干预设备连接到逻辑分析仪后，攻击者可以记录DDR5命令/地址信号和数据突发传输过程，从而获得物理DRAM（动态随机存取存储器）地址的读写密文。

TEE.fail 攻击期间的DDR5 内存总线流量

对于英特尔SGX技术，研究人员需要将虚拟地址中的数据强制放入单个内存通道中，以便可以通过干预设备进行观察。

随着英特尔物理地址接口向内存地址转换组件开放，研究人员能够“通过系统文件系统（sysfs）进一步向用户空间开放这个解码接口”。这使他们能够获得用于确定物理地址与内存模块相对应的位置的关键信息。

然而，SGX 依赖操作系统内核进行物理内存分配，因此研究人员“修改了内核的SGX 驱动程序，使其能够接收虚拟地址和物理地址对作为参数，并将其存储在全局内核内存中”。

研究人员创建了一个SGX enclave，用于在特定虚拟内存地址上启动密集的读写操作。通过这种方式，他们验证了内存干预设备捕获的加密密文是物理内存地址及其内容的确定性函数。

他们解释说：“为了验证加密的确定性，我们指示飞地对其内存中的固定虚拟地址执行一系列读写操作，并在每个步骤后通过逻辑分析器捕获密文读取数据。”

由于AES-XTS加密技术每次加密相同的信息都会产生相同的输出，因此研究团队将已知值写入可观察的物理地址，并建立密文和原始值之间的映射关系。

来自飞地数据的三次读取的密文

随后，通过触发并记录目标加密操作，观察中间表项的加密访问过程，恢复每个签名对应的随机数（nonce）位。

将恢复出的随机数与公开签名相结合，可以重构私钥签名密钥，进而伪造有效的SGX/TDX认证报告（报价），冒充合法的可信执行环境。

使用相同的方法，研究人员从受AMD SEV-SNP 保护的虚拟机中运行的OpenSSL 中提取了签名密钥。值得注意的是，即使启用“密文隐藏”安全选项，针对AMD SEV-SNP的攻击仍然有效。

2. 攻击影响：研究人员演示的多场景安全威胁攻击案例包括：

1、在以太坊BuilderNet上伪造TDX认证报告，获取机密交易数据和密钥，实现不可检测的抢占式交易；

2、伪造Intel和NVIDIA的认证信息，使在可信执行环境之外运行的工作负载显得合法；

3、直接从enclave中提取ECDH私钥并恢复网络主密钥，彻底破坏数据机密性；

4. 对Xeon服务器实施攻击，获取用于验证设备身份的配置证书密钥（PCK）。

通过TEE.Fail攻击，研究人员证明可以控制可信执行环境的运行过程并观察特定的虚拟地址。然而，这种攻击是一种复杂的攻击，需要与目标设备进行物理接触。它在现实场景中的实用性有限，目前不会对普通用户构成直接威胁。

目前，研究人员已于4 月份向英特尔、6 月份向Nvidia 以及8 月份向AMD 报告了相关发现。三大厂商均已确认该问题的存在，并表示正在针对机密计算威胁模型制定缓解措施和适配解决方案，并计划在TEE.Fail 技术论文公开后发布官方声明。