CPU:L1TF漏洞對Intel SGX的影響及防御方法_UNCL

本文來自TEEX投稿，Odaily星球日報授權轉載。

L1TF漏洞是Intel平臺近日爆出的嚴重安全漏洞，該漏洞影響極大、涉及范圍廣、利用難度低，尤其是對IntelSGX安全擴展帶來了沖擊，使許多依賴該安全特性的系統面臨極大的挑戰。TEEX團隊首先分析了該漏洞的技術原理以及Intel的官方應對方案，并在此基礎上提出了“虛擬化+SGX”安全增強設計，可有效抵御L1TF漏洞，同時對SGX該如何應用于區塊鏈系統做了初步的討論。1.什么是IntelL1TF漏洞？

L1TF漏洞允許一個低權限的攻擊者竊取被加載至一級緩存中且屬于特權級軟件的隱私數據。該漏洞有三個變種：L1TerminalFault-SGX：一個用戶態攻擊者能夠竊取位于一級緩存中的屬于Enclave的數據；L1TerminalFault-OS/SMM：一個低權限的攻擊者能夠竊取位于一級緩存中的屬于更高權限的數據；L1TerminalFault-VMM：一個惡意的客戶虛擬機能夠竊取位于一級緩存中的屬于虛擬機監控器或者其他客戶虛擬機的數據。L1TF幾乎影響了所有擁有預測執行技術與頁表翻譯功能的Intel處理器，官方公開的受影響處理器列表幾乎包含了Intel近幾年發布的所有CPU型號。1.1背景介紹：頁表、緩存、預測執行與隱蔽信道頁表：頁表是CPU管理內存的核心機制。當頁表機制啟用時，CPU指令采用虛擬地址訪問內存。隨后，CPU利用頁表將該虛擬地址翻譯為物理地址，從而從物理內存中讀取/寫入數據。頁表中，每個虛擬地址頁都擁有一個自己的頁表項。一個頁表項中包含了該虛擬地址頁對應的物理地址頁，以及相應的權限位與控制位。其中有兩個特殊位P位以及預留位與本次攻擊相關。P位表示當前頁表項是否有效，同樣的對于預留位的檢查失敗也表示當前頁表項無效；緩存：緩存是CPU內部的一塊高速儲存區域。CPU將物理內存中的數據加載到內部的緩存中，之后對于該物理內存的訪問將直接在緩存中進行，從而提升CPU訪問內存的速度。當前處理器的緩存往往分為多個級別，一級緩存、二級緩存以及三級緩存。在多核處理器中，每個CPU核都擁有自己的一級與二級緩存。而三級緩存往往是所有CPU核共享的；預測執行：預測執行是當前CPU加速指令處理的一項主要技術。當CPU執行某些引起控制流跳轉時，并無法立刻獲得下一條指令時，CPU將會預測性地繼續執行指令。如果預測正確，那么就能有效提升指令處理速度。而如果預測出錯，那么CPU將會回滾所有由于預測執行而產生的結果；隱蔽信道：隱蔽信道是一種間接的數據傳輸方式。兩個被隔離的程序能夠通過控制某些系統狀態的變化，間接的傳遞數據，從而繞開諸多隔離機制。假如A希望向B傳遞一個隱私數據，那么A首先根據該數據的內容，相應的更改系統狀態。而B之后能夠通過觀察系統狀態變化，從而間接獲得A傳遞過來的隱私數據。這種間接的數據傳遞方式被稱為隱蔽信道。1.2L1TF漏洞的詳細原理當CPU訪問某個虛擬地址時，會通過頁表將虛擬地址翻譯到物理地址。此時，如果頁表中的P位被置0，或者預留位被置上，那么意味著該頁表項無效，即所對應的虛擬地址沒有被映射到物理地址。此時，CPU中負責地址翻譯的模塊將立即停止地址翻譯過程，并拋出一個PageFault。這一特殊的PageFault也被稱為TerminalFault。然而，當TerminalFault發生之后，擁有預測執行特性的CPU并不會立即跳轉至錯誤處理函數，而是會預測執行觸發錯誤的指令。此時，CPU會根據頁表項中的內容，預測性的將目標虛擬地址翻譯為物理地址，并且繼續訪問內存。具體來說，CPU會從發生Fault的頁表項中讀取物理頁的起始地址，從訪問的虛擬地址中獲得頁內的地址偏移，最終組成一個物理地址。如果該物理地址中的數據已經被加載到當前CPU核的一級緩存中，那么該數據將被讀取，并且傳遞給之后的預測執行指令。雖然最終這些預測執行的指令運行結果都將被CPU回滾，但是CPU無法恢復這些指令對緩存狀態產生的影響。因此，這些預測執行的指令能夠利用緩存狀態建立一條隱蔽信道并將讀取的目標數據傳遞給攻擊者。由于TerminalFault發生之后，CPU訪問的物理地址是預測生成的，而不是通過頁表翻譯得出的，因此該次物理地址訪問將能夠繞過諸多內存訪問檢查，具體來說有三種：繞開IntelSGX的Enclave內存保護檢查。Enclave是IntelSGX提供的可信執行環境，Enclave的數據在內存中會被加密，只有被加載至緩存中時才會解密。當完成虛擬地址到物理地址的翻譯之后，CPU會檢查目標地址是否屬于某一Enclave并且當前是否在該Enclave中運行；繞開SMM的內存保護檢查。SMM模式是Intel的一個具有高權限的運行模式。頁表翻譯完成之后，CPU會檢查目標物理地址是否是屬于SMM模式的內存，并且檢查當前運行模式是否能夠對其進行訪問；繞開Intel虛擬化技術系統的擴展頁表。在虛擬化環境中，完成頁表翻譯之后，得到的物理地址將被擴展頁表進行第二次翻譯，從而得到最終用來進行內存訪問的物理地址。擴展頁表被廣泛用于保證不同虛擬機之間的內存隔離。由于L1TF漏洞能夠繞開以上三類不同的檢查，因此該漏洞也被分為三個不同的變種，L1TF-SGX、L1TF-OS/SMM以及L1TF-VMM。1.3L1TF漏洞有哪些依賴條件？L1TF漏洞要求攻擊代碼所處的CPU核的以及緩存中必須存有目標數據。目標數據可以是任何當前權限級別或者用戶無法訪問的數據。同時L1TF要求攻擊者能夠在目標機器運行攻擊代碼。具體來說，L1TF依賴于以下三個攻擊條件，只有這些條件均被滿足時，攻擊才能進行：1.目標數據必須被加載至攻擊者所在CPU核的一級緩存中；而一級緩存的大小非常有限，并且內容更替頻繁，因此攻擊窗口非常小；2.攻擊代碼必須運行在一級緩存中存有目標數據的CPU核中；同時，攻擊代碼所用的頁表中必須存在能夠利用的頁表項，從而構造出目標數據的物理地址；3.攻擊代碼只能通過預測執行進行目標數據的讀取，并且必須通過隱秘信道才能最終獲得目標數據。條件1意味著攻擊者必須實現通過某些技術保證目標數據已經被加載到一級存中。條件2、3要求攻擊代碼必須運行在目標數據所緩存的CPU核中。在擁有Hyperthead技術的IntelCPU中，一個CPU核會擁有兩個能夠同時執行并且共享一級緩存的物理線程，因此攻擊代碼僅需運行在目標CPU核中的任一物理線程之中。2.L1TF對IntelSGX有什么影響？

L1D為第二只加密風險投資基金籌集1.52億美元:金色財經報道，專注于數字資產的蘇黎世投資顧問公司L1 Digital AG (L1D)管理著4億美元的資產，該公司已為其第二只風險投資基金籌集了1.52億美元。L1D將把70%的資金直接投資于加密初創企業，另外30%投資于早期加密投資公司。L1D此前曾投資過知名行業投資者Multicoin Capital、DeFiance Capital、Castle Island Ventures和1kx。

L1D已在瑞士獨立金融市場監管機構——瑞士金融市場監管局(FINMA)注冊，目前管理著一只另類投資基金和兩只風險資本基金，這些基金得到了專業和機構客戶的支持，包括瑞士養老基金、家族理財室、財富管理公司和銀行。L1D成立于2018年8月，在熊市期間擁有籌集和部署資金的經驗。[2023/8/8 21:32:29]

IntelSGX是IntelCPU提供的硬件安全特性。SGX提供了一種可信執行環境Enclave，允許用戶將關鍵代碼與數據運行在Enclave中并且保證安全性，同時提供了一些列指令用以創建、管理、銷毀Enclave。Enclave中的代碼和數據均存儲在專用的物理內存區域EPC中，EPC中的數據會以密文形式保存在物理內存之中，只有當其被加載至CPU內部之后，EPC中的數據才會被解密保存在緩存中。因此，Enclave除了能夠防止來自高權限級別的軟件攻擊之外，還能夠抵御冷啟動攻擊、總線偵測攻擊等物理攻擊手段。2.1如何利用L1TF讀取Enclave中的加密內存？雖然Enclave中的數據在內存中是加密的，但是其在CPU緩存中是以明文存儲的。L1TF漏洞能夠繞開CPU對Enclave內存訪問的檢查，使得攻擊者能夠竊取被加載至一級緩存中的Enclave數據。在今年的USENIXSecurity2018大會上，L1TF的發現者們發表了論文“FORESHADOW:ExtractingtheKeystotheIntelSGXKingdomwithTransientOut-of-OrderExecution“，闡述了如何利用L1TF-SGX漏洞竊取Enclave中的隱私數據。在論文中提到，L1TF漏洞在攻擊Enclave時能夠被更加容易的實現。IntelSGX提供了一條特殊指令*eldu*，用以幫助不可信的操作系統安全的加載Encalve的內存。攻擊者發現，eldu指令在加載Enclave內存時，會同時將其加載至當前CPU的以及緩存之中。也就是說，攻擊者無需猜測目標數據何時會被加載至一級緩存中。其能夠直接通過eldu指令，將任意Enclave內存加載至當前CPU核的一級緩存，并且利用L1TF-SGX漏洞對其進行讀取。2.2Intel提供的L1TF漏洞補丁與防御機制針對L1TF漏洞，Intel官方提供了微代碼補丁。對于保護SGX而言，補丁主要做了兩處安全性增強：在進出Enclave時，清除當前CPU核的一級緩存。保證在退出Enclave之后，Enclave內部的數據不會殘留在一級緩存之中，從而無法被竊取；在Enclave的遠程驗證信息中加入當前是否啟用Hyperthread的報告，同時建議用戶拒絕相信運行在開啟Hyperthread平臺中的Enclave。對于上文提到的eldu指令，Intel的官方文檔里并沒有提到是否對該指令打上補丁，以防止其被用來進行L1TF攻擊。如果該指令的行為未被修改，那么攻擊者仍然能夠利用L1TF漏洞讀取Enclave內部的數據。本方法要求用戶拒絕將Enclave運行在開啟了Hyperthread的平臺之上。然而，Hyperthread的控制主要由BIOS完成，無法在運行時動態開啟/關閉。這也就意味著，用戶為了使用SGX必須完全放棄Hyperthread技術。與此同時，某些硬件廠商的BIOS并不支持關閉Hyperthread的操作，導致用戶無法安全地在這些平臺上使用SGX技術。3.TEEX團隊的“虛擬化+SGX”安全增強方案

Galxe將上線原生Injective L1集成:7月22日消息，Cosmos生態智能合約平臺Injective發推稱，Galxe將上線原生Injective L1集成。[2023/7/22 15:52:24]

考慮eldu指令是否被修補的未知隱患，以及部分機器可能未打上Intel的微代碼補丁，同時為了管控SGX在將來可能存在的側信道攻擊等安全隱患，TEEXteam提出了一個基于虛擬化技術的SGX安全增強方案：TXVisor。該方案利用虛擬化技術，將不同的Enclave環境，以及Enclave與非Enclave環境相隔離，以保證用戶數據與代碼邏輯不受類似L1TF等攻擊的影響。該方案包括以下技術點：L1Cache隔離：在每次退出Enclave時，TXVisor都將清除當前CPU核的一級緩存，從而避免攻擊者利用一級緩存，在Enclave內外構建隱蔽通道，從根本上杜絕了L1TF攻擊，即使在沒有應用Intel補丁的硬件平臺也同樣適用；ELDU指令安全增強：對于Intel官方補丁中未提到的eldu指令，TXVisor將通過“Trap-and-emulate”的方法，動態捕獲該指令的執行，在保證其原有功能的同時增加額外的安全檢查，從而防止其破壞一級緩存的隔離；Hyperthread模式下安全性增強：TXVisor通過控制調度，防止攻擊者利用Hyperthread技術在運行時利用L1TF漏洞攻擊目標Enclave。通過將Enclave環境與非Enclave環境的隔離，本方案既能夠保證Enclave安全，又允許用戶在Enclave外使用Hyperthread技術提升系統性能，從而進一步降低安全防護所帶來的性能損失；可信運行環境驗證：TXVisor提出了軟硬件結合的雙重遠程認證方法，使得用戶能夠安全的驗證應用程序是否運行在受SGX與TXVisor保護的平臺之上。該方案可在沒有應用Intel硬件補丁的平臺上完全防御類似L1TF等類型的攻擊；同時，我們還提出了若干系統優化的方法，以降低安全增強所帶來的性能損失。該工作也是繼CHAOS、CloudVisor、HyperCoffer、TxIntro、CrossOver、SeCage、AdAttester、Nexen、SGXMigration、vTZ、VButton、Fidelius、EPTI之后，在虛擬化與可信隔離環境方面的系列工作之一。4.SGX與區塊鏈

如何保證數據的隱私性一直是區塊鏈領域的難題之一。目前，諸多領域內的技術團隊正在探索如何利用IntelSGX等硬件安全技術，為區塊鏈提供隱私性保證。雖然當前還未有利用IntelSGX解決區塊鏈隱私問題的成熟方法，但研究人員在探索的過程中已經證明，SGX技術能夠有效提升區塊鏈中數據與運算的隱私性。然而，SGX技術并不是“不壞金身“。無論是此次的L1TF-SGX漏洞，還是之前的測信道攻擊，都揭示了SGX存在著安全隱患。因此，對于區塊鏈系統來說，一個合理的SGX使用方案，應當既能夠利用SGX技術提升區塊鏈的安全性能，也能夠在SGX存在漏洞的情況下，限制漏洞所造成的影響。現有的部分方案存在過分依賴SGX的問題，例如將區塊鏈的一致性協議完全依賴SGX的隱私性進行設計。一旦SGX的安全性存在漏洞，安全隱患將瞬間蔓延至整個區塊鏈，導致整個鏈的崩潰。TEEX團隊在利用SGX保證用戶數據、計算邏輯安全性的同時，通過結合虛擬化等技術與區塊鏈本身的特性，能夠有效控制SGX出現漏洞后的影響范圍。在利用SGX提升區塊鏈隱私性的同時，也不過分依賴于其作為整個系統的安全根。綜上，我們認為TEE將會與密碼學一樣，成為區塊鏈的重要支撐技術之一。TEEX團隊希望通過在TEE安全技術上的多年積累，為現有和將來的區塊鏈系統提供安全可靠的基礎架構服務，進而促進整體生態的繁榮。后續，TEEX會帶來更多TEE與區塊鏈結合的討論，敬請期待。關于TEEX團隊TEEX團隊希望將TEE與區塊鏈技術相結合，建立一個去中心化的可信執行平臺。團隊主要研究的領域包含IntelSGX、ARMTrustZone、AMDSME/SVE、TPM/TXT、形式化驗證、以及虛擬化在內的各類TEE解決方案與安全增強方案，同時在如何將TEE應用于區塊鏈領域也有相應的技術積累。更多信息詳見：https://teex.io。參考文獻1.VanBulckJ,PiessensF,StrackxR.Foreshadow:ExtractingtheKeystotheIntel{SGX}KingdomwithTransientOut-of-OrderExecution,USENIXSecurity'2018.2.(https://software.intel.com/security-software-guidance/insights/deep-dive-intel-analysis-l1-terminal-fault)3.Daonity-GridSecurityfromTwoLevelsofVirtualization.HaiboChen,JieyunChen,WenboMao,andFeiYan.ElsevierInformationSecurityTechnicalReport.(InvitedPaper),Volumn12,Issue3,pp.123–138.June2007.4.FengzheZhang,JinChen,HaiboChenandBinyuZang.CloudVisor:RetrofittingProtectionofVirtualMachinesinMulti-tenantCloudwithNestedVirtualization.In23rdACMSymposiumonOperatingSystemsPrinciples,SOSP,2011.5.YubinXia,YutaoLiuandHaiboChen.ArchitectureSupportforGuest-TransparentVMProtectionfromUntrustedHypervisorandPhysicalAttacks.InProceedingsof2013InternalSymposiumonHighPerformanceComputerArchitecture,February,2013.6.YutaoLiu,YubinXia,HaibingGuan,BinyuZang,HaiboChen.ConcurrentandConsistentVirtualMachineIntrospectionwithHardwareTransactionalMemory.InProceedingsofthe20thIEEEInternationalSymposiumOnHighPerformanceComputerArchitecture(BestPaperNominee),Orlando,Florida,2014.7.WenhaoLi,YubinXia,HaiboChen,BinyuZang,HaibingGuan.ReducingWorldSwitchesinVirtualizedEnvironmentwithFlexibleCross-worldCalls.Inthe42ndInternationalSymposiumonComputerArchitecture,Portland,Oregon,USA.June2015.8.YutaoLiu,TianyuZhou,KexinChen,HaiboChen,YubinXia.ThwartingMemoryDisclosurewithEfficientHypervisor-enforcedIntra-domainIsolation.Proceedingsofthe22thACMConferenceonComputerandCommunicationsSecurity,Denver,Colorado,US,October,2015.9.WenhaoLi,HaiboLi,HaiboChen,YubinXia.AdAttester:SecureOnlineAdvertisementAttestationonMobileDevicesUsingTrustZone.InProceedingsofthe13thInternationalConferenceonMobileSystems,Applications,andServices,Florence,Italy.May2015.10.LeiShi,YumingWu,YubinXia,NathanDautenhahn,HaiboChen,BinyuZang,HaibingGuan,JingmingLi.DeconstructingXen.TheNetworkandDistributedSystemSecuritySymposium2017.SanDiego,California.March,2017.11.JinyuGu,ZhichaoHua,YubinXia,HaiboChen,BinyuZang,HaibingGuan,JinmingLi.SecureLiveMigrationofSGXEnclavesonUntrustedCloud.The47thIEEE/IFIPInternationalConferenceonDependableSystemsandNetworks,June26-29,2017.Denver,CO,USA.12.ZhichaoHua,JinyuGu,YubinXia,HaiboChen,BinyuZangandHaibingGuan.vTZ:VirtualizingARMTrustZone.USENIXSecuritySymposium2017.Voncouer,Canada,August,2017.13.WenhaoLi,ShiyuLuo,ZhichuangSun,YubinXia,LongLu,HaiboChen,BinyuZang,HaibingGuan.VButton:PracticalAttestationofUser-drivenOperationsinMobileApps.InProceedingsofthe16thACMInternationalConferenceonMobileSystems,Applications,andServices,2018.14.YumingWu,YutaoLiu,RuifengLiu,HaiboChen,BinyuZangandHaibingGuan.ComprehensiveVMProtectionagainstUntrustedHypervisorthroughRetrofittedAMDMemoryEncryption.The24thIEEEInternationalSymposiumonHigh-PerformanceComputerArchitecture,Vienna,Austria.Feb2018.15.ZhichaoHua,DongDu,YubinXia,HaiboChen,BinyuZang.EPTI:EfficientDefenceagainstMeltdownAttackforUnpatchedVMs.USENIXATC,2018.

NFT拍賣協議Burnt Finance正式更名為Burnt并將推出L1鏈XION:3月22日，據官方消息，NFT拍賣協議Burnt Finance宣布正式更名為Burnt，致力于將Web3的影響擴大到DeFi的范圍之外。

此外，Burnt將推出專為消費者采用打造的L1鏈XION，旨在通過一個工具包為消費者消除加密技術壁壘，該工具包包括無縫出入金通道、直接信用卡購買、Web2登錄、安全的移動支持帳戶抽象以及零gas費用。

去年1月消息，Burnt Finance完成800萬美元A輪融資，Animoca Brands領投。[2023/3/22 13:20:02]

Synthetix已開始將合成資產從L1遷移至L2，部分L1網絡的合成資產被廢棄:據官方消息，合成資產協議Synthetix和其交易平臺Kwenta在代號Wezen的更新中表示，將開始將合成資產從一層網絡遷移到二層網絡，已經有幾個合成資產在以太坊主網中被廢棄，用戶需要進行贖回操作。與此同時，用戶已經可以在L2版本的Synthetix上交易sUSD、sETH、sBTC和sLINK。另外Synthetix還表示，一旦L1上的合成資產被廢棄，社區將更關注為L2版本增加新資產和功能，比如做空功能。[2021/9/21 23:40:39]

Loopring業務開發主管：當前以太坊L2領域競爭熱度超越L1:10月14日消息，去中心化交易所Loopring業務開發主管Matthew Finestone表示，由于受歡迎程度高，以太坊網絡已變得前所未有的擁擠，網絡可伸縮性成為重中之重。雖然從歷史上看，很多人都在考慮在以太坊之外重新建立可擴展的智能合約平臺，但當前發展趨勢顯示，更大的競爭是在以太坊鏈第二層解決方案領域，而非是在第一層解決方案領域。但Matthew Finestone也表示，這并不能代表以太坊競爭產品的失敗。（CoinDesk）[2020/10/14]

Tags：ENCINTCPUNCLEncointerPOINT幣xhv幣cpu挖礦UNCL

Polygon