学术版发布有关英特尔SGX漏洞的文档，加密密钥受到威胁

英特尔软件卫士扩展（SGX）中发现的错误允许密码，编码密钥和其他机密信息从计算机内存中移出。

昨天，计算机科学家Daniel Gruss通过YouTube视频解释了概念验证攻击（也称为““负载值注入 [LVI]，”可用于从英特尔SGX抢劫特权信息，包括用于钱包和加密货币交换的编码密钥。

攻击非常严重，因为SGX处理器的结构可以在系统内存中安全地存储机密信息，即使背后运行着非法软件也是如此。

LVI通过迫使易受攻击的系统处理可能保存在恶意网站或应用程序上的脚本并展开针对SGX的侧渠道入侵来进行操作。

一旦受到威胁，攻击者就可以控制在SGX中保存的加密密钥。格鲁斯解释说：

“在崩溃类型的攻击中，攻击者故意尝试加载机密数据-导致处理器取消并重新发布负载。取消的负载会持续运行一小段时间-足以使攻击者对机密数据执行操作。”

LVI入侵最初是由Jo Van Bulk于去年4月确定的。昨天，他发表了一篇研究报告，解释了这次袭击事件，丹尼尔·格鲁斯（Daniel Gruss）和另外八位学者对此进行了研究。

该文件将LVI入侵解释为Meltdown的一种反向攻击，学者指出，LVI主要针对Intel CPU，而其他易受Meltdown影响的IC也可以以相同的方式利用。

尽管如此，学者们推断，使用LVI入侵技术滥用消费者系统的可能性很小，这突出说明了执行LVI的复杂过程以及存在其他更简单的策略来危害个人使用的计算机系统的可能性。

入侵必须在执行有害代码时发生，从而进一步降低了在消费者系统上使用LVI违反策略的可能性。针对已发布的文档，英特尔发布了一份清单，其中列出了易受LVI影响的处理器的详细信息，这表明所有已升级硬件以防止Meltdown的英特尔IC都没有危险。

英特尔表示：

“研究人员已经确定了一种称为负荷值注入（LVI）的新机制。由于要成功执行必须满足许多复杂的要求，因此英特尔不认为LVI在可信赖的OS和VMM的现实环境中是一种实用的方法。”

—-

原文链接：https://www.cointrust.com/news/crypto-keys-under-threat-as-academic-releases-document-on-intel-sgx-vulnerability

原文作者：Kelly Cromley

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。