GoFetch 공격 개요
- GoFetch는 데이터 메모리 의존형 프리패처(DMP)를 통해 상수 시간 암호화 구현에서 비밀 키를 추출할 수 있는 마이크로아키텍처 사이드 채널 공격임.
- 많은 애플 CPU에 DMP가 존재하며, OpenSSL Diffie-Hellman, Go RSA, CRYSTALS Kyber 및 Dilithium과 같은 다양한 암호화 구현에 실제 위협이 되어 키를 추출할 수 있음을 보여줌.
GoFetch 개발자
- GoFetch는 일리노이 대학교 어바나-샴페인의 Boru Chen, 텍사스 대학교 오스틴의 Yingchen Wang, 조지아 공과대학교의 Pradyumna Shome, 캘리포니아 대학교 버클리의 Christopher W. Fletcher, 워싱턴 대학교의 David Kohlbrenner, 카네기 멜론 대학교의 Riccardo Paccagnella, 조지아 공과대학교의 Daniel Genkin이 개발함.
자주 묻는 질문
- GoFetch의 메커니즘, DMP가 있는 프로세서와 GoFetch의 영향을 받는 프로세서, GoFetch와 Augury의 차이점, 캐시 사이드 채널 공격, 상수 시간 프로그래밍, 데이터 메모리 의존형 프리패처, DMP 취약 암호화 구현, DMP 비활성화 가능 여부, 공격으로부터 보호 방법, 개념 증명 코드 존재 여부, 로고 사용 가능 여부, 애플에 통지한 시기 등에 대한 질문과 답변이 제공됨.
GoFetch 관련 뉴스
- 애플 칩의 패치 불가능한 취약점이 비밀 암호화 키를 유출할 수 있음.
- 애플 실리콘 취약점이 암호화 키를 유출하며 쉽게 패치할 수 없음.
- GoFetch 취약점은 애플의 M 시리즈 칩에서 암호화 키 유출 위험을 노출함.
- 애플 M 시리즈 칩에서 비밀 암호화 키를 유출할 수 있는 새로운 'GoFetch' 공격이 발견됨.
- 애플 실리콘의 패치 불가능한 보안 결함으로 인해 암호화가 깨질 수 있음.
- 애플 M 시리즈 CPU의 취약점으로 인해 공격자가 암호화 키를 훔칠 수 있음.
감사의 말
- 이 연구는 공군 과학 연구 사무소(AFOSR), 국방 고등 연구 계획국(DARPA), 국립 과학 재단(NSF), 알프레드 P. 슬로언 연구 펠로우십, 인텔, 퀄컴, 시스코로부터의 지원을 받아 부분적으로 지원됨.
GN⁺의 의견
- GoFetch는 애플의 M 시리즈 칩에서 발견된 새로운 보안 취약점으로, 암호화 키를 유출할 수 있는 심각한 위협을 제시함. 이는 애플 기기 사용자들에게 중요한 보안 이슈가 될 수 있음.
- 이 취약점은 하드웨어 수준에서 패치가 불가능하다고 알려져 있어, 소프트웨어 기반의 해결책이나 우회 방법이 필요할 것으로 보임.
- 비슷한 기능을 가진 다른 프로젝트나 제품으로는 Intel의 SGX나 AMD의 SEV 같은 하드웨어 보안 기술이 있으나, 이들 역시 다른 유형의 취약점에 노출되어 있을 수 있음.
- 이 기술을 도입할 때 고려해야 할 사항으로는, 하드웨어의 보안 취약점에 대한 지속적인 모니터링과 적절한 소프트웨어 업데이트를 통한 리스크 관리가 있음.
- GoFetch와 같은 취약점 발견은 암호화 기술과 하드웨어 보안의 중요성을 강조하며, 사용자와 개발자 모두에게 보안에 대한 인식을 높이는 계기가 될 수 있음.