L1TF漏洞對Intel SGX的影響及防御方法_ENC

本文來自TEEX投稿，Odaily星球日報授權轉載。

L1TF漏洞是Intel平臺近日爆出的嚴重安全漏洞，該漏洞影響極大、涉及范圍廣、利用難度低，尤其是對IntelSGX安全擴展帶來了沖擊，使許多依賴該安全特性的系統面臨極大的挑戰。TEEX團隊首先分析了該漏洞的技術原理以及Intel的官方應對方案，并在此基礎上提出了“虛擬化+SGX”安全增強設計，可有效抵御L1TF漏洞，同時對SGX該如何應用于區塊鏈系統做了初步的討論。1.什么是IntelL1TF漏洞？

L1TF漏洞允許一個低權限的攻擊者竊取被加載至一級緩存中且屬于特權級軟件的隱私數據。該漏洞有三個變種：L1TerminalFault-SGX：一個用戶態攻擊者能夠竊取位于一級緩存中的屬于Enclave的數據；L1TerminalFault-OS/SMM：一個低權限的攻擊者能夠竊取位于一級緩存中的屬于更高權限的數據；L1TerminalFault-VMM：一個惡意的客戶虛擬機能夠竊取位于一級緩存中的屬于虛擬機監控器或者其他客戶虛擬機的數據。L1TF幾乎影響了所有擁有預測執行技術與頁表翻譯功能的Intel處理器，官方公開的受影響處理器列表幾乎包含了Intel近幾年發布的所有CPU型號。1.1背景介紹：頁表、緩存、預測執行與隱蔽信道頁表：頁表是CPU管理內存的核心機制。當頁表機制啟用時，CPU指令采用虛擬地址訪問內存。隨后，CPU利用頁表將該虛擬地址翻譯為物理地址，從而從物理內存中讀取/寫入數據。頁表中，每個虛擬地址頁都擁有一個自己的頁表項。一個頁表項中包含了該虛擬地址頁對應的物理地址頁，以及相應的權限位與控制位。其中有兩個特殊位P位以及預留位與本次攻擊相關。P位表示當前頁表項是否有效，同樣的對于預留位的檢查失敗也表示當前頁表項無效；緩存：緩存是CPU內部的一塊高速儲存區域。CPU將物理內存中的數據加載到內部的緩存中，之后對于該物理內存的訪問將直接在緩存中進行，從而提升CPU訪問內存的速度。當前處理器的緩存往往分為多個級別，一級緩存、二級緩存以及三級緩存。在多核處理器中，每個CPU核都擁有自己的一級與二級緩存。而三級緩存往往是所有CPU核共享的；預測執行：預測執行是當前CPU加速指令處理的一項主要技術。當CPU執行某些引起控制流跳轉時，并無法立刻獲得下一條指令時，CPU將會預測性地繼續執行指令。如果預測正確，那么就能有效提升指令處理速度。而如果預測出錯，那么CPU將會回滾所有由于預測執行而產生的結果；隱蔽信道：隱蔽信道是一種間接的數據傳輸方式。兩個被隔離的程序能夠通過控制某些系統狀態的變化，間接的傳遞數據，從而繞開諸多隔離機制。假如A希望向B傳遞一個隱私數據，那么A首先根據該數據的內容，相應的更改系統狀態。而B之后能夠通過觀察系統狀態變化，從而間接獲得A傳遞過來的隱私數據。這種間接的數據傳遞方式被稱為隱蔽信道。1.2L1TF漏洞的詳細原理當CPU訪問某個虛擬地址時，會通過頁表將虛擬地址翻譯到物理地址。此時，如果頁表中的P位被置0，或者預留位被置上，那么意味著該頁表項無效，即所對應的虛擬地址沒有被映射到物理地址。此時，CPU中負責地址翻譯的模塊將立即停止地址翻譯過程，并拋出一個PageFault。這一特殊的PageFault也被稱為TerminalFault。然而，當TerminalFault發生之后，擁有預測執行特性的CPU并不會立即跳轉至錯誤處理函數，而是會預測執行觸發錯誤的指令。此時，CPU會根據頁表項中的內容，預測性的將目標虛擬地址翻譯為物理地址，并且繼續訪問內存。具體來說，CPU會從發生Fault的頁表項中讀取物理頁的起始地址，從訪問的虛擬地址中獲得頁內的地址偏移，最終組成一個物理地址。如果該物理地址中的數據已經被加載到當前CPU核的一級緩存中，那么該數據將被讀取，并且傳遞給之后的預測執行指令。雖然最終這些預測執行的指令運行結果都將被CPU回滾，但是CPU無法恢復這些指令對緩存狀態產生的影響。因此，這些預測執行的指令能夠利用緩存狀態建立一條隱蔽信道并將讀取的目標數據傳遞給攻擊者。由于TerminalFault發生之后，CPU訪問的物理地址是預測生成的，而不是通過頁表翻譯得出的，因此該次物理地址訪問將能夠繞過諸多內存訪問檢查，具體來說有三種：繞開IntelSGX的Enclave內存保護檢查。Enclave是IntelSGX提供的可信執行環境，Enclave的數據在內存中會被加密，只有被加載至緩存中時才會解密。當完成虛擬地址到物理地址的翻譯之后，CPU會檢查目標地址是否屬于某一Enclave并且當前是否在該Enclave中運行；繞開SMM的內存保護檢查。SMM模式是Intel的一個具有高權限的運行模式。頁表翻譯完成之后，CPU會檢查目標物理地址是否是屬于SMM模式的內存，并且檢查當前運行模式是否能夠對其進行訪問；繞開Intel虛擬化技術系統的擴展頁表。在虛擬化環境中，完成頁表翻譯之后，得到的物理地址將被擴展頁表進行第二次翻譯，從而得到最終用來進行內存訪問的物理地址。擴展頁表被廣泛用于保證不同虛擬機之間的內存隔離。由于L1TF漏洞能夠繞開以上三類不同的檢查，因此該漏洞也被分為三個不同的變種，L1TF-SGX、L1TF-OS/SMM以及L1TF-VMM。1.3L1TF漏洞有哪些依賴條件？L1TF漏洞要求攻擊代碼所處的CPU核的以及緩存中必須存有目標數據。目標數據可以是任何當前權限級別或者用戶無法訪問的數據。同時L1TF要求攻擊者能夠在目標機器運行攻擊代碼。具體來說，L1TF依賴于以下三個攻擊條件，只有這些條件均被滿足時，攻擊才能進行：1.目標數據必須被加載至攻擊者所在CPU核的一級緩存中；而一級緩存的大小非常有限，并且內容更替頻繁，因此攻擊窗口非常小；2.攻擊代碼必須運行在一級緩存中存有目標數據的CPU核中；同時，攻擊代碼所用的頁表中必須存在能夠利用的頁表項，從而構造出目標數據的物理地址；3.攻擊代碼只能通過預測執行進行目標數據的讀取，并且必須通過隱秘信道才能最終獲得目標數據。條件1意味著攻擊者必須實現通過某些技術保證目標數據已經被加載到一級存中。條件2、3要求攻擊代碼必須運行在目標數據所緩存的CPU核中。在擁有Hyperthead技術的IntelCPU中，一個CPU核會擁有兩個能夠同時執行并且共享一級緩存的物理線程，因此攻擊代碼僅需運行在目標CPU核中的任一物理線程之中。2.L1TF對IntelSGX有什么影響？

Messari：二季度ETH流通市值增長3%，其他主要L1市值平均下降23%:7月21日消息，Messari研究員Peter Horton發推稱，受上海升級、meme和各監管事件影響，二季度ETH流通市值增長3%，而其他主要L1市值平均下降23%。各L1的流動性質押率逐步提升，ETH在二季度末達50%以上，增長了25%。Cardano在多維度季度增長率上領先，包括TVL、交易量、穩定幣市值等。Avax受Layerzero影響，在tx和新地址方面超過了各主流L1。[2023/7/21 15:50:08]

IntelSGX是IntelCPU提供的硬件安全特性。SGX提供了一種可信執行環境Enclave，允許用戶將關鍵代碼與數據運行在Enclave中并且保證安全性，同時提供了一些列指令用以創建、管理、銷毀Enclave。Enclave中的代碼和數據均存儲在專用的物理內存區域EPC中，EPC中的數據會以密文形式保存在物理內存之中，只有當其被加載至CPU內部之后，EPC中的數據才會被解密保存在緩存中。因此，Enclave除了能夠防止來自高權限級別的軟件攻擊之外，還能夠抵御冷啟動攻擊、總線偵測攻擊等物理攻擊手段。2.1如何利用L1TF讀取Enclave中的加密內存？雖然Enclave中的數據在內存中是加密的，但是其在CPU緩存中是以明文存儲的。L1TF漏洞能夠繞開CPU對Enclave內存訪問的檢查，使得攻擊者能夠竊取被加載至一級緩存中的Enclave數據。在今年的USENIXSecurity2018大會上，L1TF的發現者們發表了論文“FORESHADOW:ExtractingtheKeystotheIntelSGXKingdomwithTransientOut-of-OrderExecution“，闡述了如何利用L1TF-SGX漏洞竊取Enclave中的隱私數據。在論文中提到，L1TF漏洞在攻擊Enclave時能夠被更加容易的實現。IntelSGX提供了一條特殊指令*eldu*，用以幫助不可信的操作系統安全的加載Encalve的內存。攻擊者發現，eldu指令在加載Enclave內存時，會同時將其加載至當前CPU的以及緩存之中。也就是說，攻擊者無需猜測目標數據何時會被加載至一級緩存中。其能夠直接通過eldu指令，將任意Enclave內存加載至當前CPU核的一級緩存，并且利用L1TF-SGX漏洞對其進行讀取。2.2Intel提供的L1TF漏洞補丁與防御機制針對L1TF漏洞，Intel官方提供了微代碼補丁。對于保護SGX而言，補丁主要做了兩處安全性增強：在進出Enclave時，清除當前CPU核的一級緩存。保證在退出Enclave之后，Enclave內部的數據不會殘留在一級緩存之中，從而無法被竊取；在Enclave的遠程驗證信息中加入當前是否啟用Hyperthread的報告，同時建議用戶拒絕相信運行在開啟Hyperthread平臺中的Enclave。對于上文提到的eldu指令，Intel的官方文檔里并沒有提到是否對該指令打上補丁，以防止其被用來進行L1TF攻擊。如果該指令的行為未被修改，那么攻擊者仍然能夠利用L1TF漏洞讀取Enclave內部的數據。本方法要求用戶拒絕將Enclave運行在開啟了Hyperthread的平臺之上。然而，Hyperthread的控制主要由BIOS完成，無法在運行時動態開啟/關閉。這也就意味著，用戶為了使用SGX必須完全放棄Hyperthread技術。與此同時，某些硬件廠商的BIOS并不支持關閉Hyperthread的操作，導致用戶無法安全地在這些平臺上使用SGX技術。3.TEEX團隊的“虛擬化+SGX”安全增強方案

Polygon zkEVM已修復阻礙L1資產橋接至L2的漏洞，沒有資金面臨風險:5月29日消息，Scroll 區塊鏈安全研究員 iczc 發推稱，在 Polygon zkEVM 中發現一個漏洞，并獲得來自 Web3 漏洞賞金平臺 Immunefi L2 漏洞賞金。該漏洞導致從 L1 橋接至 Polygon zkEVM（L2）的資產無法在 L2 中正確認領，從而阻礙了 L1 至 L2 的資產遷移。

iczc 在處理認領交易（claim tx）預執行結果的代碼邏輯中發現，惡意攻擊者可以通過將 Gas 費設置為非零來繞過對認領交易的「isReverted」預執行檢查，使其可以通過發送大量低成本的 claim 對定序器和驗證器進行 DoS 攻擊，從而增加計算開銷。此外，交易不會在執行后立即從池中刪除。狀態從「待定」更新為「選定」，并繼續存在于 PostgreSQL 數據庫中。目前，只有一個可信的定序器能夠從交易池中獲取交易并執行它們。因此，另一個漏洞是通過發送一個失敗的交易來惡意標記任何存款數。這將導致正確使用存款數的 認領交易被拒絕，因為存款數已經被使用。這使得新用戶無法使用 L2 網絡。Polygon zkEVM 團隊通過刪除認領交易的特定 gas 邏輯，修復了這一漏洞，沒有資金面臨風險。[2023/5/29 9:48:40]

考慮eldu指令是否被修補的未知隱患，以及部分機器可能未打上Intel的微代碼補丁，同時為了管控SGX在將來可能存在的側信道攻擊等安全隱患，TEEXteam提出了一個基于虛擬化技術的SGX安全增強方案：TXVisor。該方案利用虛擬化技術，將不同的Enclave環境，以及Enclave與非Enclave環境相隔離，以保證用戶數據與代碼邏輯不受類似L1TF等攻擊的影響。該方案包括以下技術點：L1Cache隔離：在每次退出Enclave時，TXVisor都將清除當前CPU核的一級緩存，從而避免攻擊者利用一級緩存，在Enclave內外構建隱蔽通道，從根本上杜絕了L1TF攻擊，即使在沒有應用Intel補丁的硬件平臺也同樣適用；ELDU指令安全增強：對于Intel官方補丁中未提到的eldu指令，TXVisor將通過“Trap-and-emulate”的方法，動態捕獲該指令的執行，在保證其原有功能的同時增加額外的安全檢查，從而防止其破壞一級緩存的隔離；Hyperthread模式下安全性增強：TXVisor通過控制調度，防止攻擊者利用Hyperthread技術在運行時利用L1TF漏洞攻擊目標Enclave。通過將Enclave環境與非Enclave環境的隔離，本方案既能夠保證Enclave安全，又允許用戶在Enclave外使用Hyperthread技術提升系統性能，從而進一步降低安全防護所帶來的性能損失；可信運行環境驗證：TXVisor提出了軟硬件結合的雙重遠程認證方法，使得用戶能夠安全的驗證應用程序是否運行在受SGX與TXVisor保護的平臺之上。該方案可在沒有應用Intel硬件補丁的平臺上完全防御類似L1TF等類型的攻擊；同時，我們還提出了若干系統優化的方法，以降低安全增強所帶來的性能損失。該工作也是繼CHAOS、CloudVisor、HyperCoffer、TxIntro、CrossOver、SeCage、AdAttester、Nexen、SGXMigration、vTZ、VButton、Fidelius、EPTI之后，在虛擬化與可信隔離環境方面的系列工作之一。4.SGX與區塊鏈

公鏈Zilliqa推出Web3游戲和硬件公司“ROLL1NG THUND3ERZ”:2月14日消息，公鏈Zilliqa聯合創始人Max Kantelia宣布推出Web3游戲和硬件公司“ROLL1NG THUND3ERZ”，該公司不僅會扮演游戲工作室的角色，還將為開發人員構建游戲和dApp工具。Zilliqa去年還宣布計劃推出Web3游戲機并將其命名為“Lightn1ng”，Max Kantelia表示未來ROLL1NG THUND3ERZ游戲生態系統不局限于其Web3游戲機，可支持桌面訪問。

計劃在2023年3月31日左右發布Hub。（cryptoslate）[2023/2/14 12:05:36]

如何保證數據的隱私性一直是區塊鏈領域的難題之一。目前，諸多領域內的技術團隊正在探索如何利用IntelSGX等硬件安全技術，為區塊鏈提供隱私性保證。雖然當前還未有利用IntelSGX解決區塊鏈隱私問題的成熟方法，但研究人員在探索的過程中已經證明，SGX技術能夠有效提升區塊鏈中數據與運算的隱私性。然而，SGX技術并不是“不壞金身“。無論是此次的L1TF-SGX漏洞，還是之前的測信道攻擊，都揭示了SGX存在著安全隱患。因此，對于區塊鏈系統來說，一個合理的SGX使用方案，應當既能夠利用SGX技術提升區塊鏈的安全性能，也能夠在SGX存在漏洞的情況下，限制漏洞所造成的影響。現有的部分方案存在過分依賴SGX的問題，例如將區塊鏈的一致性協議完全依賴SGX的隱私性進行設計。一旦SGX的安全性存在漏洞，安全隱患將瞬間蔓延至整個區塊鏈，導致整個鏈的崩潰。TEEX團隊在利用SGX保證用戶數據、計算邏輯安全性的同時，通過結合虛擬化等技術與區塊鏈本身的特性，能夠有效控制SGX出現漏洞后的影響范圍。在利用SGX提升區塊鏈隱私性的同時，也不過分依賴于其作為整個系統的安全根。綜上，我們認為TEE將會與密碼學一樣，成為區塊鏈的重要支撐技術之一。TEEX團隊希望通過在TEE安全技術上的多年積累，為現有和將來的區塊鏈系統提供安全可靠的基礎架構服務，進而促進整體生態的繁榮。后續，TEEX會帶來更多TEE與區塊鏈結合的討論，敬請期待。關于TEEX團隊TEEX團隊希望將TEE與區塊鏈技術相結合，建立一個去中心化的可信執行平臺。團隊主要研究的領域包含IntelSGX、ARMTrustZone、AMDSME/SVE、TPM/TXT、形式化驗證、以及虛擬化在內的各類TEE解決方案與安全增強方案，同時在如何將TEE應用于區塊鏈領域也有相應的技術積累。更多信息詳見：https://teex.io。參考文獻1.VanBulckJ,PiessensF,StrackxR.Foreshadow:ExtractingtheKeystotheIntel{SGX}KingdomwithTransientOut-of-OrderExecution,USENIXSecurity'2018.2.(https://software.intel.com/security-software-guidance/insights/deep-dive-intel-analysis-l1-terminal-fault)3.Daonity-GridSecurityfromTwoLevelsofVirtualization.HaiboChen,JieyunChen,WenboMao,andFeiYan.ElsevierInformationSecurityTechnicalReport.(InvitedPaper),Volumn12,Issue3,pp.123–138.June2007.4.FengzheZhang,JinChen,HaiboChenandBinyuZang.CloudVisor:RetrofittingProtectionofVirtualMachinesinMulti-tenantCloudwithNestedVirtualization.In23rdACMSymposiumonOperatingSystemsPrinciples,SOSP,2011.5.YubinXia,YutaoLiuandHaiboChen.ArchitectureSupportforGuest-TransparentVMProtectionfromUntrustedHypervisorandPhysicalAttacks.InProceedingsof2013InternalSymposiumonHighPerformanceComputerArchitecture,February,2013.6.YutaoLiu,YubinXia,HaibingGuan,BinyuZang,HaiboChen.ConcurrentandConsistentVirtualMachineIntrospectionwithHardwareTransactionalMemory.InProceedingsofthe20thIEEEInternationalSymposiumOnHighPerformanceComputerArchitecture(BestPaperNominee),Orlando,Florida,2014.7.WenhaoLi,YubinXia,HaiboChen,BinyuZang,HaibingGuan.ReducingWorldSwitchesinVirtualizedEnvironmentwithFlexibleCross-worldCalls.Inthe42ndInternationalSymposiumonComputerArchitecture,Portland,Oregon,USA.June2015.8.YutaoLiu,TianyuZhou,KexinChen,HaiboChen,YubinXia.ThwartingMemoryDisclosurewithEfficientHypervisor-enforcedIntra-domainIsolation.Proceedingsofthe22thACMConferenceonComputerandCommunicationsSecurity,Denver,Colorado,US,October,2015.9.WenhaoLi,HaiboLi,HaiboChen,YubinXia.AdAttester:SecureOnlineAdvertisementAttestationonMobileDevicesUsingTrustZone.InProceedingsofthe13thInternationalConferenceonMobileSystems,Applications,andServices,Florence,Italy.May2015.10.LeiShi,YumingWu,YubinXia,NathanDautenhahn,HaiboChen,BinyuZang,HaibingGuan,JingmingLi.DeconstructingXen.TheNetworkandDistributedSystemSecuritySymposium2017.SanDiego,California.March,2017.11.JinyuGu,ZhichaoHua,YubinXia,HaiboChen,BinyuZang,HaibingGuan,JinmingLi.SecureLiveMigrationofSGXEnclavesonUntrustedCloud.The47thIEEE/IFIPInternationalConferenceonDependableSystemsandNetworks,June26-29,2017.Denver,CO,USA.12.ZhichaoHua,JinyuGu,YubinXia,HaiboChen,BinyuZangandHaibingGuan.vTZ:VirtualizingARMTrustZone.USENIXSecuritySymposium2017.Voncouer,Canada,August,2017.13.WenhaoLi,ShiyuLuo,ZhichuangSun,YubinXia,LongLu,HaiboChen,BinyuZang,HaibingGuan.VButton:PracticalAttestationofUser-drivenOperationsinMobileApps.InProceedingsofthe16thACMInternationalConferenceonMobileSystems,Applications,andServices,2018.14.YumingWu,YutaoLiu,RuifengLiu,HaiboChen,BinyuZangandHaibingGuan.ComprehensiveVMProtectionagainstUntrustedHypervisorthroughRetrofittedAMDMemoryEncryption.The24thIEEEInternationalSymposiumonHigh-PerformanceComputerArchitecture,Vienna,Austria.Feb2018.15.ZhichaoHua,DongDu,YubinXia,HaiboChen,BinyuZang.EPTI:EfficientDefenceagainstMeltdownAttackforUnpatchedVMs.USENIXATC,2018.

Web3基礎設施提供商Ankr將加入Nervos新主網Mirana L1層:5月7日消息，Nervos在推特上宣布，Web3基礎設施提供商Ankr將加入其新主網Mirana L1層。[2022/5/7 2:56:41]

ZKSwap將向L1和L2持倉用戶空投8000萬ZKS:據官方消息，ZKSwap項目決定對所有在Layer1(所有交易所和獨立錢包地址)和Layer2以及鎖倉合約里面持有ZKS的用戶進行1:1的空投，空投代幣來自項目長期激勵計劃部分，空投快照時間為北京時間2月25日早上10點。空投將只針對目前已經流通的8000萬個代幣進行空投，因為團隊第一年不持有任何代幣，因此團隊不會獲取任何空投，天使投資人也不會獲取任何空投。天使投資人的代幣會和空投的8000萬個代幣，進行同步釋放，天使投資人在2月25日解鎖的大部分代幣，會參與長期鎖倉和Staking計劃，2月25日也將同步解鎖顧問團隊0.33%的代幣。

注：Uniswap和ZKSwap 關于ZKS/USDT的流動性在空投期間會臨時移除。[2021/2/20 17:34:26]

Tags：ENCINTcLACPUENCXPAINTMcLaren F1 Fan Token門羅幣cpu算力表

PEPE幣