普渡大學與喬治亞理工學院研究團隊公開WireTap研究論文,揭露一種利用DDR4 DRAM匯流排插接與竊聽的實作,能在僅具備基本電工工具與市售零件的前提下,監看伺服器記憶體往返總線的加密流量,在單次稽核簽章流程中,透過復原該次ECDSA簽章所用的Nonce,進而推得SGX Quoting Enclave的ECDSA私鑰,進而簽發可被官方驗證程式接受的偽造稽核報告,動搖依賴SGX遠端稽核建立的信任鏈。
WireTap做法是在主機板與DDR4記憶體模組之間放置被動轉接器,接上邏輯分析儀以觀測加密後的DRAM讀寫。研究人員指出,伺服器平臺上與SGX相關的記憶體加密採用決定性加密(Deterministic Encryption),讓同一明文在相同情境下對應固定密文,攻擊者因而能建立密文與明文的對映關係,對常數時間的密碼運算產生可利用的訊息洩漏。
在此基礎上,研究團隊展示了對SGX Quoting Enclave的完整金鑰復原,取得ECDSA簽章金鑰後可簽出任意SGX報告。研究團隊提供偽造的SGX Quote與驗證腳本,證明該稽核報告(Quote)能被Intel的DCAP Quote Verification Library接受,且報告中不可能出現的量測值仍被判定為可信狀態。
研究同時評估實際系統的風險,在Secret Network個案中,研究團隊於測試網透過偽造稽核報告加入節點並取得共識種子(Consensus Seed),進而解密交易內容。對Phala與Crust,論文說明可分別偽裝可信執行環境以存取資料,或偽造儲存以領取獎勵。Integritee因其註冊與信任機制依賴SGX稽核,也可被偽裝節點濫用。上述影響均源自稽核鏈可被偽造,並非破壞共識協議本身。
WireTap的實作門檻並不高,團隊表示整套裝置成本低於1,000美元,材料一般市面可取得,且不需要實驗室等級環境,強化了此攻擊在實務面的可行性。
影響範圍以第3代Intel Xeon Scalable處理器為主,研究稱較早期的Core與Xeon-E因採用不同的記憶體加密引擎而不受此技術影響,Xeon-D仍未確定,第4與第5代Xeon需搭配DDR5,並不在此次研究可利用的範圍。
偵測難度上,研究指出一旦攻擊完成,偽造的SGX稽核報告與合法者難以區分,事後幾乎無從辨識,目前未見野外使用跡象。
Intel於9月30日發布說明,指稱WireTap與同期Battering RAM研究皆假設攻擊者具備以匯流排插接取得物理近端的能力,屬AES-XTS式記憶體加密保護邊界之外,因此不計畫指派CVE。
Intel建議在支援的處理器上啟用Intel TME-MK(Total Memory Encryption-Multi-Key)的加密完整性保護模式,以對抗如Battering RAM等別名式(Alias-based)攻擊,該功能已在第5代Xeon(Emerald Rapids)與Xeon 6 P-cores(Granite Rapids)提供。同時提醒驗證端應理解受信平臺的實體保護屬性,平臺擁有者可在稽核過程藉由平臺憑證識別並證明控制的硬體環境。
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
