{"id":300756,"date":"2024-09-03T00:02:00","date_gmt":"2024-09-02T22:02:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=300756"},"modified":"2024-09-02T16:07:22","modified_gmt":"2024-09-02T14:07:22","slug":"nachlese-intel-sgx-root-key-hack","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/09\/03\/nachlese-intel-sgx-root-key-hack\/","title":{"rendered":"Nachlese Intel SGX-Root-Key Hack"},"content":{"rendered":"

\"Sicherheit[English]Intel hat in seinen CPUs Intels Software Guard Extensions (SGX) als \"sichere Enclave\" implementiert. Das Ganze ist aber so komplex und fehleranf\u00e4llig geworden, dass ein Sicherheitsexperte von Positive Technologies den Intel SGV Root-Key abrufen konnte – damit k\u00f6nnten die in der Enclave gespeicherten, vertraulichen Informationen m\u00f6glicherweise irgendwann entschl\u00fcsselt werden. Nun hat sich auch Intel zum Thema ge\u00e4u\u00dfert – und ich fasse den Sachverhalt, der bereits Ende August 2024 f\u00fcr mich auf der Agenda stand, nachfolgend zusammen. <\/p>\n

<\/p>\n

Intel Software Guard Extensions (SGX)<\/h2>\n

\"\"Die Software Guard Extensions (Intel SGX) sind eine Erweiterung der Intel x86-Architektur. Ziel ist es, in SGX sichere Enklaven bereitzustellen, die zwar im Adressraum eines Prozesses liegen, aber durch die CPU gesch\u00fctzt und f\u00fcr die alle direkten Zugriffe, auch von privilegierten Prozessen, durch die CPU kontrolliert bzw. gesperrt werden. Der Schutz des SGX-Speichers umfasst unter anderem transparente Speicherverschl\u00fcsselung mit Integrit\u00e4tsschutz. Die Wikipedia h\u00e4lt hier<\/a> einige Erkl\u00e4rungen zu den Intel Software Guard Extensions (SGX) bereit.<\/p>\n

SGX Root-Key ausgelesen<\/h2>\n

Mark Ermolov von der russischen IT-Sicherheitsfirma Positive Technologies t\u00fcftelt seit geraumer Zeit an den Intel CPUs und deren Sicherheitstechnologien herum (siehe z.B. Intels Management Engine (ME) erneut gehackt<\/a>). Ende August 2024 ist mir nachfolgender Tweet<\/a> von Ermolov auf X untergekommen.<\/p>\n

\"Intel<\/a><\/p>\n

Der Sicherheitsforscher schreibt, dass die Intel Hardware zu komplex sei, um absolut sicher zu sein. Nach jahrelanger Forschung sei es ihnen gelungen, den Intel SGX \"Fuse Key0\", auch bekannt als Root Provisioning Key, aus einer CPU zu extrahieren. Zusammen mit FK1 oder Root Sealing Key (ebenfalls kompromittiert) stellt er die Root of Trust f\u00fcr SGX dar. Im Screenshot zeigt er den aus einer echten Intel CPU ausgelesenen Schl\u00fcssel. <\/p>\n

In einem Folge-Tweet schreibt Ermolov, dass Intels Entwickler sich wirklich M\u00fche gegeben habe, den Schl\u00fcssel zu sch\u00fctzen. Der Teil von ucode zum Schutz funktioniere perfekt. Aber die Entwickler h\u00e4tten vergessen, den internen Puffer in der Kern-IP, der alle Fuses (einschlie\u00dflich FK0) enth\u00e4lt, die vom Fuse Controller erworben wurden, zu l\u00f6schen. In einem Trace sieht man, wie die Sicherheitsforscher so an den Key heran kamen.  <\/p>\n

Noch sei der letzte Schritt noch nicht getan, um Intel SGX vollst\u00e4ndig zu kompromittieren, merkt Ermolov an. Aber in Kenntnis des FK0 Fuse Encryption Key (FK0 FEK) hoffen die Sicherheitsspezialisten, dass sie SGX komplett (wie bei CSME) knacken k\u00f6nnen. CSME steht f\u00fcr Intel\u00ae Converged Security and Management Engine<\/a> – und dort gab es ebenfalls Hacks (siehe Sicherheit: Angriff auf TPM und Intel ME-Dump<\/a>).<\/p>\n

Laut Intel Risiko (noch) gering<\/h2>\n

Ende August hat Ermolov in einem weiteren Tweet<\/a> auf die Stellungnahme von Intel<\/a> zu diesem Sachverhalt hingewiesen. Dort wird das Ganze relativiert, denn die Sicherheitsforscher h\u00e4tten Tests auf Systemen durchgef\u00fchrt, zu denen sie physischen Zugang hatten.<\/p>\n

<\/a><\/p>\n

Die Forscher h\u00e4tten bereits entsch\u00e4rfte Schwachstellen aus dem Jahr 2017 (auf einem alten Prozessor) ausgenutzt, um Zugang zu einem Zustand zu erhalten, den man als Intel Unlocked (auch bekannt als \u201eRed Unlocked\") bezeichne. Daher seien diese Ergebnisse nicht \u00fcberraschend. Die entsch\u00e4rften Schwachstellen, die den Zugriff auf den Intel Unlocked-Status erm\u00f6glichen, gelten nur f\u00fcr die Plattformen Denverton, Apollo Lake, Gemini Lake und Gemini Lake Refresh.<\/p>\n

Von diesen Plattformen unterst\u00fctzen nur Gemini Lake und Gemini Lake Refresh Intel\u00ae Software Guard Extensions (SGX)). Andere Intel Prozessoren oder Plattformen seien nicht betroffen. Intel\u00ae Trust Domain Extensions (Intel\u00ae TDX) ist ebenfalls nicht betroffen, hei\u00dft es von Intel. Zudem sei der Schl\u00fcssel, den der Forscher angeblich extrahiert hat, verschl\u00fcsselt und nicht im Klartext.  Die Verschl\u00fcsselung, die den Schl\u00fcssel sch\u00fctzt, m\u00fcsste geknackt werden, um ihn f\u00fcr b\u00f6swillige Zwecke zu verwenden, und dann w\u00fcrde er nur f\u00fcr das einzelne angegriffene System gelten, schreibt Intel.<\/p>\n

Als Schutzma\u00dfnahme empfiehlt Intel sicherzustellen, dass der Systemhersteller die Systeme am Fertigungsende so konfiguriert, dass die Intel\u00ae Firmware-Versionskontrolle aktiviert ist. Dann w\u00fcrden diese und andere Schwachstellen verhindert, weil  Firmware-Updates Schwachstellen schlie\u00dfen k\u00f6nnen. Kunden k\u00f6nnen das Open-Source-Tool CHIPSEC von Intel verwenden, um die Sicherheitskonfiguration ihrer Firmware zu \u00fcberpr\u00fcfen. <\/p>\n

Unter dem Strich l\u00e4sst sich das Ganze als \"mit einem blauen Auge davon gekommen\" einordnen. Ermolov ist es mit viel t\u00fcfteln gelungen, einen Schl\u00fcssel zu extrahieren. Der praktische N\u00e4hrwert ist aber begrenzt und Intel hat die Schwachstellen per Firmware-Update geschlossen. Bei heise hat man hier eine Einordnung<\/a> des Vorgangs vorgenommen, der noch einige Einsch\u00e4tzungen und Erkl\u00e4rungen enth\u00e4lt. Es ist nicht der letzte Hack, der Sicherheitsl\u00fccken in CPUs aufdeckt, die sich am Ende des Tages doch nicht breit ausnutzen lassen. Ein ungutes Gef\u00fchl bleibt aber, denn irgendwann kommt wom\u00f6glich der Hack, der die B\u00fcchse der Pandora \u00f6ffnet und die ganzen Sicherheitsfeatures ad absurdum f\u00fchrt – oder wie seht ihr das?<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Intel hat in seinen CPUs Intels Software Guard Extensions (SGX) als \"sichere Enclave\" implementiert. Das Ganze ist aber so komplex und fehleranf\u00e4llig geworden, dass ein Sicherheitsexperte von Positive Technologies den Intel SGV Root-Key abrufen konnte – damit k\u00f6nnten die in … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-300756","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/300756","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=300756"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/300756\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=300756"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=300756"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=300756"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}