Das Speichern von privaten Kryptoschlüsseln auf einem Computer, auch offline, ist möglicherweise nicht so sicher wie gedacht. Bekannte Schwachstellen in weit verbreiteten Prozessoren haben einen weitere Schwachstelle hinzugefügt, die wertvolle Daten, einschließlich Wallet-Keys, offenlegen könnte.
Intel CPU-Angriff unter realen Bedingungen kaum durchführbar
Nur etwa ein Jahr nach der Aufdeckung der Spectre- und Meltdown-Schwachstellen ist ein neuer Weg entstanden, wertvolle Informationen zu stehlen. Diesen Dienstag wurde ein neuer Exploit entdeckt, der in der Lage ist, Informationen von Intels SGX (Software Guard eXtensions) zu stehlen.
Dieser digitale Speicher kann für kryptografische private Schlüssel und andere sensible Informationen verwendet werden.
Auf die Daten kann über den sogenannten „Load Value Injection“-Angriff zugegriffen werden, berichtet ArsTechnica. Das bedeutet, dass sensible Daten durch Injektionen, die von bösartigem Code oder einer Anwendung stammen, verbreitet werden können.
Dieser Code könnte sich Zugang zu Informationen verschaffen, die normalerweise nicht weitergegeben werden dürfen – wie z.B. private Kryptoschlüssel deiner Bitcoins.
Die Schwachstelle betrifft Anwendungen, die SGX verwenden, um einen digitalen Tresor für Verschlüsselungs-Keys, Passwörter, Technologien zur Verwaltung digitaler Rechte und andere sensible Informationen zu erstellen.
Die neue Schwachstelle kreuzt sich mit einer bereits bekannten Schwachstelle, Meltdown. Intel hat eine Liste von Prozessoren veröffentlicht, die von der neuesten Schwachstelle betroffen sind.
„Im Gegensatz zu allen früheren Angriffen vom Typ „Meltdown“ kann LVI in bestehenden Prozessoren nicht transparent abgeschwächt werden und erfordert teure Software-Patches, die die Berechnungen der Intel-SGX-Enklave um das 2- bis 19-fache verlangsamen können.“
Normalerweise nur menschliches Versagen ursächlich
Intel gab eine sofortige Erklärung über den Angriff und seine Milderung heraus.
„Forscher haben einen neuen Mechanismus identifiziert, der als Load Value Injection (LVI) bezeichnet wird. Aufgrund der zahlreichen komplexen Anforderungen, die erfüllt werden müssen, um erfolgreich durchgeführt werden zu können, glaubt Intel nicht, dass LVI eine praktische Methode in realen Umgebungen ist, in denen das Betriebssystem und der VMM vertrauenswürdig sind.“
Neue Richtlinien und Werkzeuge für LVI seien jetzt verfügbar und würden in Verbindung mit zuvor veröffentlichten Abschwächungen arbeiten, um die Gesamtangriffsfläche „wesentlich“ zu reduzieren.
Der genaue Umfang des LV-Angriffs wurde in einer im April 2019 gestarteten Sonderuntersuchung ausführlich dargestellt. Die Forscher gehen davon aus, dass der Angriff extrem schwierig durchzuführen und nur erschwert auf Unterhaltungselektronik anwendbar ist. Bislang sind keine bekannten Fälle des Angriffs bekannt. Es ist möglich, dass der LV-Angriff Cloud-Computing-Ressourcen beeinträchtigen könnte.
Besitzer von Krypto-Coins wie Bitcoin oder Ethereum sind natürlich schon immer besorgt über die Offenlegung ihrer privaten Schlüssel. Bislang wurden nur wenige Diebstähle aus Wallets gemeldet, ohne dass ein menschlicher Faktor die privaten Schlüssel aufgedeckt hätte.
Aber die Entnahme eines privaten Schlüssels aus einem Wallet von einem Endgerät wie einem Smartphone bleibt ein Szenario mit sehr geringer Wahrscheinlichkeit.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen