2023年8月21日-24日，由工業(yè)和信息化部裝備工業(yè)發(fā)展中心、江蘇省工業(yè)和信息化廳、蘇州市人民政府以及中國汽車工程研究院股份有限公司聯(lián)合主辦的“2023汽車技術(shù)與裝備發(fā)展論壇”于蘇州隆重召開。本屆論壇以“裝備夯實根基?技術(shù)引領(lǐng)未來”為主題，邀請政府領(lǐng)導(dǎo)、行業(yè)院士、企業(yè)高層、技術(shù)專家，圍繞新技術(shù)、新裝備、新生態(tài)展開深入研討，以推動技術(shù)及產(chǎn)業(yè)發(fā)展，夯實質(zhì)量強國之基，服務(wù)汽車強國戰(zhàn)略。

其中，在8月23日舉辦的“汽車芯片與安全技術(shù)”專題論壇上，武漢大學(xué)網(wǎng)絡(luò)安全學(xué)院 教授、博士生導(dǎo)師 唐明女士發(fā)表了主題為《處理器漏洞挖掘與檢測》的精彩演講。以下內(nèi)容為現(xiàn)場演講實錄：

武漢大學(xué)網(wǎng)絡(luò)安全學(xué)院 教授、博士生導(dǎo)師 唐明

以下內(nèi)容為現(xiàn)場演講實錄：

大家好，我是武漢大學(xué)唐明，感謝雷總邀請，很榮幸參加這個論壇，我分享的內(nèi)容是處理器安全。我今天介紹的處理器安全指的是通用的處理器，剛才很多專家講MCU，最后有時間可以簡單分享一下專用處理器和MCU的相似工作。

報告分為兩部分：介紹現(xiàn)有通用處理器的泄漏級攻擊、基于泄漏級攻擊介紹我們團隊關(guān)于新型漏洞挖掘、檢測和相應(yīng)防護措施。

一、處理器現(xiàn)有主流泄漏漏洞

現(xiàn)有主流處理器攻擊分為三種攻擊。第一種攻擊類型是隱蔽信道，用簡單圖示說明一下隱蔽信道的大致原理。處理器內(nèi)部大致分為兩個區(qū)域，按照等級劃分，一個區(qū)域是高安全等級，另一個區(qū)域是低安全等級。不同的進程和線程運行在不同區(qū)域中。

如果高安全區(qū)域存在不進行破壞的惡意代碼，只是截取秘密信息比如說私鑰或者網(wǎng)絡(luò)安全中的某些隱私信息，可以和低安全區(qū)域的協(xié)作者合謀攻擊，通過時間級的泄漏將信息按比特傳遞出去，這就是隱蔽信道。

圖示簡單解釋一下，現(xiàn)有處理器內(nèi)部包括一些MCU內(nèi)部有很多區(qū)域或資源是共享的，不同進程和線程會共享區(qū)域。當進程競爭相同區(qū)域時，會出現(xiàn)一個進程使用該區(qū)域，另一個進程阻塞的情況。觀測者可以通過測試自身使用該區(qū)域的時間來判斷該區(qū)域是否被競爭，從而判定當前傳輸?shù)谋忍厥?還是1。

第二種攻擊類型是指時間側(cè)信道，是傳統(tǒng)側(cè)信道的一種。我們團隊在2007年開始做傳統(tǒng)側(cè)信道，包括能耗，剛才長安汽車李總介紹了傳統(tǒng)側(cè)信道的密碼安全芯片或者安全芯片中的能耗、電磁、故障。時間攻擊也是處理器領(lǐng)域中典型的一類泄露攻擊，包含兩部分，一部分是由于代碼自身的不平衡，現(xiàn)在的舉例中可以看到，如果現(xiàn)在的條件分支語句中if的分支和else的分支代碼執(zhí)行時間不同的話，觀測者可以判定你到底是執(zhí)行的是if還是else？如果if判斷條件或者這個分支語句的判斷條件是和秘密信息相關(guān)的，其實是泄漏了秘密信息本身，這是代碼級的時間泄漏。

更隱蔽方式是基于處理器微架構(gòu)資源，典型的處理器內(nèi)部來看就是cache高速緩存，或者這類共享存儲資源?，F(xiàn)在的攻擊模式上舉例用的是Flush+reload攻擊模式，三步模式，攻擊者、受害者、攻擊者的進入方式。首先攻擊者進入cache，打掃干凈戰(zhàn)場后受害者進入，受害者訪問數(shù)據(jù)的時候會使得受害者的數(shù)據(jù)從內(nèi)存進入到cache中，比如進入L1 cache或者L2 cache中，之前攻擊者把cache清掉了，意味著受害者的數(shù)據(jù)、代碼一定會是miss狀態(tài)，一定會導(dǎo)到cache里面去。第三步攻擊者進入，攻擊者把cache地址掃一遍就知道受害者使用了cache中的哪一個地址。cache中的地址，即便是現(xiàn)有安全處理器防護中，和數(shù)據(jù)在內(nèi)存中的地址之間都會有映射關(guān)系，這個映射關(guān)系很有可能是和秘密信息有關(guān)的，特別是跟密碼芯片里加密算法里的分組和傳統(tǒng)加密，包括輕量加密中的私鑰直接相關(guān)，以這種方式泄漏執(zhí)行過程中的秘密信息。

第三種攻擊類型暫態(tài)攻擊，是2017年底2018年初，處理器安全進入大家視線成為熱點研究領(lǐng)域的推動，最初發(fā)現(xiàn)是在intel的處理器里面發(fā)現(xiàn)的，正常的程序在運行的時候有一個權(quán)限隔離，只能訪問自己在內(nèi)存中的地址中的內(nèi)容，但是如果出現(xiàn)了暫態(tài)攻擊，我可以越權(quán)讀到數(shù)據(jù)。如果能夠越權(quán)讀到數(shù)據(jù)，現(xiàn)有信息管理中的權(quán)限訪問一類或者隔離技術(shù)就全部失效了。

這類攻擊有兩個動作，第一個動作在處理器內(nèi)部有所謂的回退，預(yù)測執(zhí)行發(fā)生錯誤的時候要進行回退，回退時間比正常時間要長。第二個依賴于隱蔽信道，需要在處理器中有共享隱蔽信道資源，兩著相加就可以展開攻擊。

這個是幽靈攻擊目前為止的五個版本，他們的共性就是都有回退和共享資源這兩個條件。用Spectre V1例子簡單說明，暫態(tài)類攻擊里第一次提出暫態(tài)類攻擊就是用BP，即處理器內(nèi)部的分支預(yù)測。處理器的分支預(yù)測在通用處理器中是對于性能極大提高的技術(shù)手段或者資源。這個微架構(gòu)資源帶來的好處是，CPU運行到分支是不需要阻塞等待分支判斷語句計算完成，而是根據(jù)以往的跳轉(zhuǎn)結(jié)果預(yù)測執(zhí)行。如果一個分支前面一直走的yes，下一次CPU就會預(yù)測走yes，并預(yù)測執(zhí)行yes語句。

攻擊者會先騙掉分支預(yù)測器，分支預(yù)測是大家共享的，進來先騙你走yes，不停地走yes，受害者進來的時候可能是走no的，但是沒有意識到，自動預(yù)測走yes，并將受害者的數(shù)據(jù)和指令送入cache中?；赝说倪^程中會將受害者的數(shù)據(jù)進行回退，但cache沒有進行相應(yīng)的flush，導(dǎo)致私密數(shù)據(jù)在cache中留下了痕跡。這種情況從信息安全角度攻擊者有相當能力讀出來。

華為萬總講到OTA，OTA場景比較適合今天的話題，在處理器中對汽車芯片會不會有問題？芯片里如果用到處理器芯片或者剛才講到的共享資源，在處理器不管是MPU還是通用處理器中，如果有共資源，當代碼在執(zhí)行過程中可能會實時下載程序進來，這些程序和當前正在運行的程序有沒有可能競爭資源？競爭過程中所有代碼運行數(shù)據(jù)有沒有適當或者隔離？實際上為芯片安全找到新場景，或者說在汽車芯片中有一個新的安全問題。

    二、我們團隊處理器上主要工作

一是漏洞挖掘，我們做的是商用處理器，以intel、AMD和arm芯片為主體，右側(cè)的是intel的典型微架構(gòu)圖，前端資源上挖了兩個漏洞，執(zhí)行單元上挖了一個單元漏洞，在cache和存儲相關(guān)單元挖了兩個漏洞。挖漏洞的目的有幾個，一是商用處理器對我們來說完全黑核的芯片，對我們安全能力的鍛煉。第二是可以繞過現(xiàn)有防護，不管是哪一家商用處理器公司在漏洞挖出來后會打補丁，如果能夠挖出新漏洞，實際上原有補丁是失效的。更重要的是我們團隊主題工作是放在后面的防和測上，所以我們必須要先挖漏洞，在了解漏洞存在的原因和機理情況下，做相應(yīng)防護和檢測。

只介紹其中一個洞，這個洞是前端漏洞，在intel處理器的解碼處理器環(huán)節(jié)有明顯時間差異。中間一張圖是兩段代碼，這兩段代碼中指令的數(shù)量、種類，相同指令的種類和數(shù)據(jù)完全相同，只是執(zhí)行順序不同。當執(zhí)行順序不同的時候，宏融合的次數(shù)會不同，使得執(zhí)行時間不同。利用這種不同可以還原正在執(zhí)行這一段指令中的某些敏感數(shù)據(jù)，這是挖的其中一個漏洞。

總結(jié)，所有團隊挖出來的5個漏洞里可以繞過現(xiàn)有防護。第二個應(yīng)用在不同體制加密算法中，無論是是對稱的私鑰還原，還是非對稱的協(xié)議包括簽名協(xié)議的私鑰還原。第三個功能，做了若干種不同Spectre攻擊的變種式攻擊，意味著現(xiàn)有的intel處理器或者AMD處理器打的補丁不能抵抗先行的攻擊。

第二個主要工作是做處理器防護。

第一個內(nèi)容是抗功耗的攻擊，跟前面說的MCU、汽車電子里用的芯片，在MCU的環(huán)節(jié)下，安全芯片對抗的傳統(tǒng)側(cè)信道攻擊一個概念，我們現(xiàn)在也在做傳統(tǒng)密碼芯片的安全防護點。這一塊的工作是在開源處理器進行的，在開源現(xiàn)有處理器上加一些抗傳統(tǒng)側(cè)信道的防護。實際上處理器內(nèi)部的側(cè)信道泄漏帶來了另外一個問題，指令可能會被逆向出來，不僅是數(shù)據(jù)還原，有可能指令會被逆向。我們做的是一個插件，這張圖下面寫了一個ESM，這個安全插件在不破壞原有處理器流水工具條件下插在必要工序內(nèi)部，通過參數(shù)配置實現(xiàn)功耗的攻擊，可以極大縮短現(xiàn)有芯片的修改周期，同時達到預(yù)期的安全要求。

這是能耗防護的效果圖，采集功耗信息和電磁信息包括參數(shù)配置。盡量不動原來的設(shè)計盒，從商用處理器的角度和設(shè)計角度來說是換一種方式。

第二類防護是在MA層面防護，比如cache是一大類，我們現(xiàn)在也在做BP。關(guān)于cache相應(yīng)防護做微架構(gòu)層次的防護，時間類的或者暫態(tài)類的攻擊。

第三類是做RISCV輕量核包括高速核，RISCV目前還是應(yīng)用于IOT領(lǐng)域，在跟intel處理器在服務(wù)器領(lǐng)域不太一樣，國產(chǎn)處理器安全設(shè)計點上推自己的輕量核和高速核，輕量核需求更大。

檢測平臺，分為三部分，第一部分是代碼級檢測及修復(fù)，這部分的原動力來源于這樣的場景，有很多軟件公司在開發(fā)自己程序的時候沒有辦法動處理器，沒有辦法動芯片，必須買外面的芯片。在這種情況下，現(xiàn)在的代碼假設(shè)在intel上執(zhí)行將來遷移到arm上去，無論是哪一種，代碼有沒有可能受到剛才的漏洞的攻擊？第二種是OTA場景里，如果要下載一個程序進來，下載的程序需不需要進行檢測？進來的程序有沒有可能對原來程序或者控制類的代碼造成威脅？這是純代碼級別檢測，這類檢測中可以看到，除了檢測以外，檢測定位完畢以后會對當前代碼檢測結(jié)果自動做防護添加，代碼是相對安全的。

這是簡要的界面介紹，包括檢測，檢測過程中對當前的微架構(gòu)進行配置，使用什么樣的微架構(gòu)都可以，包括國產(chǎn)的也可以。檢測后會對代碼進行定位、索引、代碼修復(fù)。

電路級別，這個是MCU場景下的，因為做傳統(tǒng)側(cè)信道有能耗、故障、電磁，這一級的攻擊里或者電路級檢測，自己做安全防護，實際上安全防護做芯片中是否一定能夠達到安全性？是不確定的，需要進行形式化驗證，這是基于信息安全密碼學(xué)思路往下走。一是要作形式化驗證，安全方案和代碼給我之后論證是否足夠安全，第二設(shè)計比如說RKL級別、網(wǎng)表級別或者更低的給我之后要進行檢測和預(yù)判是不是可能有問題。最重要的是泄漏定位工作，定位完畢之后可以幫助設(shè)計者知道問題出在哪里，可以給你做修復(fù)也可以手工做修復(fù)。比單純的同類型的國際上的檢測方法和工具，他只告訴你檢測結(jié)果，不告訴你問題在哪里，我們試圖解決這樣漏洞的差異。

第三個平臺，針對微架構(gòu)漏洞進行檢測，這個點是我的微架構(gòu)里到底哪些類型的漏洞？微架構(gòu)種類包括資源分配、代碼所有的內(nèi)容都集中在這樣的平臺上，最終可以進行通用的處理器的泄漏檢測定位。

總結(jié)，整個團隊工作是按照一個層次走：攻、防、測、設(shè)計。攻、防、測是信息安全的主要領(lǐng)域，攻來說處理器的攻擊包括漏洞挖掘、攻擊方法、防護方法、芯片級新型攻擊設(shè)計。防護包括能耗、時間、故障的防護。檢測類工作包括微架構(gòu)層次、運行代碼級、電路級，不同應(yīng)用場景下的檢測。最后一個是開源處理器設(shè)計，也許我們可以在處理器點上朝著國產(chǎn)化方向往下推薦一步，我們也推出自己的安全核、安全部件。

以上就是我的所有介紹內(nèi)容，謝謝大家！

（本文根據(jù)現(xiàn)場速記整理，未經(jīng)演講嘉賓審閱）

返回第一電動網(wǎng)首頁 >