Что означает уязвимость Foreshadow для будущего Криптовалюта

ОБНОВЛЕНИЕ (16 августа 19:11 BST): Обновлено с целью включения заявления, отправленного по электронной почте от Криптовалюта стартапа Enigma.

Во вторник была обнаружена еще одна серьезная уязвимость системы безопасности, которая может иметь негативные последствия для всего мира технологий, в том числе для Криптовалюта проектов, нацеленных на использование определенных аппаратных устройств.

После пары ошибокпредставленный ранее в этом году,Предвещать уязвимостьвлияет на все анклавы Intel Software Guard Extensions (SGX) — специальную, предположительно сверхзащищенную область чипа, часто используемую для хранения конфиденциальных данных.

Короче говоря, хотя анклав должен быть защищен от несанкционированного доступа, группа исследователей нашла способ, позволяющий злоумышленнику украсть хранящуюся в нем информацию.

Для многих Meltdown и Spectre были достаточно жуткими. Ошибки затронули каждый чип Intel, оборудование, на котором работает большинство компьютеров в мире. Но поскольку это было T так просто реализовать, реальных атак было T много.

Foreshadow может показаться не таким уж плохим, поскольку он влияет на более конкретный тип оборудования Intel: SGX. Однако, поскольку многие Криптовалюта проекты планируют использовать эту Технологии, Foreshadow может иметь еще худшие последствия для мира Криптовалюта .

Возможно, наиболее примечательно то, что создатель Signal Мокси Марлинспайк находится в процессе консультирования по новой, предположительно более экологичной монете под названием MobileCoin, которая ставит SGX в центр, дажесобрать 30 миллионов долларов на это.

В результате этим проектам придется провести некоторую реструктуризацию перед реальным запуском.

«Опубликованные сегодня результаты, безусловно, окажут широкое влияние на Криптовалюта проекты», — заявил в интервью CoinDesk исследователь по вопросам безопасности из Корнелльского университета Фил Дайан.

Однако хорошая новость заключается в том, что исследователи следовали «ответственному процессу Раскрытие информации » в мире безопасности для выявления ошибок, уведомляя Intel, прежде чем демонстрировать их, чтобы технологический гигант мог предложить исправление (которое было развернуто несколько месяцев назад).

Однако мир безопасности поднимает много шума, поскольку этого все равно может быть недостаточно.

«Вероятно, что, поскольку многие из этих систем обновляются медленно и поскольку многие из этих исправлений требуют либо комплексной модернизации, либо обновления оборудования, инфраструктура останется уязвимой для этого класса атак в течение длительного времени», — сказал Дайан, добавив:

«Было бы удивительно, если бы в какой-то момент этот вид атаки не использовался для кражи Криптовалюта».

Хорошее и плохое

Но есть как хорошие, так и плохие новости.

Во ONE, похоже, что ни один из громких проектов SGX в Криптовалюта пока не используется для обеспечения реальных денег. «Насколько мне известно, сегодня в производстве или широко распространенном использовании в этой сфере нет системы SGX», — сказал Дайан.

Плохая новость в том, что есть много проектов, которыехотетьиспользовать SGX, и, возможно, даже есть планы сделать это в ближайшее время. И идеи довольно крутые.

MobileCoin

является, пожалуй, самым амбициозным, поскольку разработчики проекта хотят заменить майнеров, важнейшую часть обеспечения безопасности любой Криптовалюта, этими анклавами для создания более энергоэффективной Криптовалюта.

Но есть и множество других, которые хотят использовать SGX из-за его преимуществ в плане безопасности и Политика конфиденциальности .

Enigma использует его в уникальной заявкедля повышения Политика конфиденциальности в смарт-контрактах, в то время как компания Ledger, выпускающая аппаратные средства для кошельков, зашла так далеко, чтопартнерство с технологическим гигантом Intelизучить использование SGX как нового пути для хранения закрытых ключей. Исписок можно продолжать и продолжать.

Однако в Enigma утверждают, что последствия ошибки преувеличены.

«Как и в случае с любым программным обеспечением или оборудованием, Истории и устранение потенциальных уязвимостей является нормальной и ожидаемой частью процесса разработки. В данном случае уязвимость уже устранена Intel и никоим образом не снижает потенциал Технологии SGX», — заявил в своем заявлении генеральный директор и соучредитель Enigma Гай Зюскинд.

Зюскинд добавил, что Enigma «гордится» сотрудничеством с Intel и считает, что их сотрудничество с SGX имеет решающее значение для будущего криптовалюты, поскольку они создают «надежные решения для Политика конфиденциальности , которые наконец позволят децентрализованным приложениям работать и внедряться в больших масштабах».

Однако эти огромные преимущества все еще не мешают некоторым исследователям беспокоиться о его влиянии.

«Атака SGX разрушительна», — заявил доцент лондонского Кингс-колледжа Патрик МакКорри в интервью CoinDesk, добавив, что исследовательские группы уже давно обсуждают, как ее можно использовать для повышения безопасности данных.

«Это может потенциально подорвать целостность и Политика конфиденциальности любого приложения, которое зависит от доверенного оборудования. Многие компании в сфере Криптовалюта полагаются на SGX для поддержки многосторонних протоколов, но эта атака позволяет любому участнику мошенничать», — добавил он.

«По моему Мнение, качественные исследования и системы SGX должны предполагать, что оборудование всегда может быть взломано с определенной ценой, и, как всегда, должны проектироваться с учетом защиты и включать многоуровневую безопасность», — сказал Дайан.

Далее он дал несколько советов компаниям, которые планируют запуск в ближайшее время.

«Проекты, запуск которых планируется в ближайшее время и которые полагаются на SGX, должны с осторожностью оценивать уязвимости и любые обновления от Intel на предмет последствий для безопасности своих систем и публиковать такие расследования вместе со своим кодом», — сказал он.

Другая плохая новость заключается в том, что хакеры могут найти новый вариант ошибки, который аналогичным образом повлияет на все чипы SGX.

«Но как показывает Foreshadow, атаки становятся только лучше», — заметил МакКорри.

Сладкое оправдание

Между тем, ошибка заставляет некоторых разработчиков чувствовать себя оправданными.

Поскольку у Intel есть бэкдор во всех устройствах SGX, это долгое время было спорным технологическим направлением для Криптовалюта проектов, и энтузиасты часто утверждали, что использование этой Технологии дает слишком много власти или доверия ONE компании.

Проще говоря, по их мнению, уязвимость Foreshadow — это хороший пример того, почему не стоит ставить SGX в основу Криптовалюта проекта.

«Хорошо, что мы T приняли решение одного профессора по масштабированию Bitcoin на основе SGX!» твитнул псевдонимный энтузиаст Bitcoin Grubles.

«Хотя даже *если* он был бы каким-то образом идеален, строить безопасность Bitcoin на Secret Технологии поставщика чипов никогда не было хорошей идеей», - ответил разработчик Bitcoin CORE Владимир ван дер Лаан.

Но опять же, большинство проектов, использующих SGX, фактически T запущены в производство.

Некоторые исследователи зашли так далеко, что утверждали, что большинство Криптовалюта проектов, исследующих SGX, на самом деле T использовали их на реальных деньгах, потому что у Intel такая плохая репутация. Индустрия экспериментировала с Технологии , но слишком осторожна, чтобы фактически запустить ее.

Некоторые исследователи безопасности советуют продолжать эту тенденцию и не использовать SGX.

Однако другие исследователи настроены более оптимистично и полагают, что SGX или что-то подобное ONE сможет сыграть большую роль в Криптовалюта, рассматривая Foreshadow как положительный знак того, что надежное оборудование проходит боевые испытания.

«SGX необходимо будет многократно тестировать и взламывать с помощью враждебных исследователей, пока он не сможет заявить о высокой степени безопасности, а на это уйдут годы», — сказал Дайан, добавив, что, по его мнению, надежное оборудование по типу SGX может ONE сыграть большую (и положительную) роль в Криптовалюта.

Короче говоря, это может занять некоторое время, утверждал он, добавив:

«Реализация такой Технологии , безусловно, открывает большие перспективы для минимизации доверия и масштабируемой защиты Политика конфиденциальности в Криптовалюта и за ее пределами».

Ноутбук через Shutterstock