清華新聞網(wǎng)10月27日電 在集成電路全球化與處理器架構(gòu)快速演進(jìn)的背景下����,芯片微架構(gòu)層面的隱私與安全問(wèn)題始終是硬件系統(tǒng)設(shè)計(jì)中的關(guān)鍵挑戰(zhàn)。隨著RISC-V等新興指令集架構(gòu)的發(fā)展與普及�����,處理器在高能效與開(kāi)放性方面取得顯著優(yōu)勢(shì),但其微架構(gòu)的新特性也帶來(lái)了新的攻擊面和潛在風(fēng)險(xiǎn)�����。傳統(tǒng)側(cè)信道攻擊通常依賴(lài)高精度計(jì)時(shí)指令進(jìn)行信息提取����。近年來(lái)��,處理器通過(guò)限制計(jì)時(shí)器訪(fǎng)問(wèn)以緩解此類(lèi)威脅����,然而,在新興微架構(gòu)機(jī)制下�����,這些防御措施是否真正消除緩存層的隱私泄露風(fēng)險(xiǎn)仍不確定���。因此��,開(kāi)展預(yù)防性的微架構(gòu)分析����、逆向與漏洞挖掘研究,對(duì)于保障處理器體系安全至關(guān)重要�����。
圖1.強(qiáng)弱一致性緩存相關(guān)機(jī)制逆向與利用
近日��,清華大學(xué)電子工程系鄧舒文助理教授(劉勇攀��、楊華中教授團(tuán)隊(duì))在免計(jì)時(shí)緩存?zhèn)刃诺腊踩较蛉〉弥匾芯窟M(jìn)展��。研究通過(guò)對(duì)多個(gè)不同架構(gòu)的芯片的微架構(gòu)特性開(kāi)展的系統(tǒng)性安全分析發(fā)現(xiàn)��,新興商用與開(kāi)源架構(gòu)芯片中普遍部署了弱一致性一級(jí)緩存�����,攻擊者可利用這一特性���,繞過(guò)現(xiàn)有安全限制�����,構(gòu)造免定時(shí)器與計(jì)數(shù)器的緩存攻擊�����。
基于上述發(fā)現(xiàn)�,團(tuán)隊(duì)提出了新的攻擊GhostCache(幽靈緩存),并在多個(gè)RISC-V與ARM的商用與開(kāi)源芯片上完成系統(tǒng)性實(shí)驗(yàn)驗(yàn)證��,揭示了弱一致性緩存架構(gòu)下的安全隱患��?;贕hostCache���,團(tuán)隊(duì)構(gòu)建了三類(lèi)跨安全區(qū)域的隱蔽信道(Covert Channel)�����,實(shí)現(xiàn)了跨線(xiàn)程�����、跨特權(quán)級(jí)甚至跨核心的信息傳輸�����。該機(jī)制進(jìn)一步被應(yīng)用于多種攻擊場(chǎng)景中��,包括內(nèi)核數(shù)據(jù)泄露與加密密鑰竊取��。在實(shí)際側(cè)信道利用層面��,研究實(shí)現(xiàn)了三類(lèi)典型攻擊驗(yàn)證:網(wǎng)頁(yè)指紋識(shí)別攻擊���,即在A(yíng)RM與RISC-V芯片上均可實(shí)現(xiàn)免定時(shí)器的瀏覽器硬件緩存狀態(tài)監(jiān)測(cè)�����,100類(lèi)網(wǎng)站緩存指紋分類(lèi)準(zhǔn)確率超過(guò)90%����;內(nèi)核數(shù)據(jù)泄露攻擊�����,即包括對(duì)內(nèi)核條件分支執(zhí)行路徑的重建和Spectre瞬態(tài)執(zhí)行攻擊���,團(tuán)隊(duì)基于Linux內(nèi)核中發(fā)現(xiàn)的函數(shù)指針調(diào)用�����,構(gòu)造了首個(gè)基于指令緩存的Spectre泄露工具���,實(shí)現(xiàn)高精度的內(nèi)核數(shù)據(jù)泄露�����;RSA密鑰竊取攻擊��,即利用現(xiàn)代密碼算法庫(kù)中關(guān)鍵路徑的條件分支導(dǎo)致的指令緩存?zhèn)刃诺劳瓿擅荑€重構(gòu)�。
圖2.利用弱一致性構(gòu)造數(shù)據(jù)不一致以實(shí)現(xiàn)微架構(gòu)緩存行狀態(tài)觀(guān)測(cè)
研究提出的GhostCache���,不僅揭示了弱一致性架構(gòu)下的新緩存?zhèn)刃诺里L(fēng)險(xiǎn),也為后續(xù)的安全防御研究提供了新的關(guān)注點(diǎn)����。團(tuán)隊(duì)發(fā)現(xiàn)的安全問(wèn)題,是國(guó)內(nèi)首次在商用處理器上發(fā)現(xiàn)并披露的免計(jì)時(shí)緩存?zhèn)刃诺拦舭咐?,該成果得到業(yè)界包括ARM安全團(tuán)隊(duì)在內(nèi)的廣泛認(rèn)可,以及開(kāi)源領(lǐng)域香山團(tuán)隊(duì)的感謝����。
研究成果以“GhostCache:利用RISC-V和ARM芯片的弱一致性緩存的免計(jì)時(shí)和計(jì)數(shù)的緩存攻擊”(GhostCache: Timer- and Counter-Free Cache Attacks Exploiting Weak Coherence on RISC-V and ARM Chips)為題,被第32屆計(jì)算機(jī)與通信安全會(huì)議(ACM Computer and Communications Security 2025, CCS2025)接收�����。
CCS是信息安全領(lǐng)域水平最高、影響力最強(qiáng)的國(guó)際頂級(jí)學(xué)術(shù)會(huì)議之一��。
清華大學(xué)電子工程系2025級(jí)博士生金宇為論文第一作者����,電子工程系助理教授鄧舒文為論文唯一通訊作者。研究得到國(guó)家自然科學(xué)基金����、中關(guān)村實(shí)驗(yàn)室及香山處理器團(tuán)隊(duì)的支持。
供稿:電子系
編輯:李華山
審核:郭玲
