在可信執行環境(TEE)與遠端稽核(remote attestation)被視為區塊鏈節點信任、機密運算與雲端安全基石的情況下,此篇文章披露了一項令人不安的研究成果:由普渡大學(Purdue)與喬治亞理工學院(Georgia Tech)研究團隊發表的WireTap,示範了如何以極低門檻、利用DDR4記憶體匯流排的物理竊聽方式,復原伺服器在記憶體總線上往返的加密資料,進而破解 SGX Quoting Enclave 的 ECDSA 簽章金鑰,偽造看似「官方驗證」的稽核報告(Quote),動搖依賴 SGX 遠端稽核建立的信任鏈。
文章首先描述 WireTap 的實作方式:研究人員在主機板與DDR4記憶體模組之間放入被動轉接器,接上商用邏輯分析儀,觀察加密後的DRAM讀寫(ciphertext)模式。關鍵在於該平台採用的記憶體加密為決定性加密(Deterministic Encryption)——同一明文在相同情境下產生相同密文,研究團隊因此能建立密文與明文的對映關係,並從中擷取對簽章計算可利用的側訊息。例如在 ECDSA 這類用到隨機數(nonce)的簽章演算法中,一旦能夠重建該 nonce,就可能推導出私鑰。
在驗證示範中,研究團隊成功透過觀測記憶體匯流排的加密流量與已知/可控的操作序列,還原出用於 ECDSA 的 nonce,進而取得SGX Quoting Enclave 的簽章金鑰。取得金鑰後,他們能簽發偽造的 SGX Quote,而這些偽造的稽核報告竟可被 Intel 的 DCAP Quote Verification Library 所接受 —— 換言之,系統、應用或第三方若只檢驗 Quote 的簽章合法性,將難以分辨這些偽造報告與真實報告。
作者進一步說明實務影響:研究團隊將此攻擊應用在多個依賴 SGX 的區塊鏈或機密運算專案情境中,示範若能造出被驗證的偽造稽核報告,攻擊者可(在測試環境下)假冒可信節點加入網路、取得共識種子(例如 Secret Network),進而解密交易內容;或偽裝受信執行環境以讀取資料(Phala、Integritee)、或偽造儲存證明以領取獎勵(Crust)。重點在於:攻擊不是破壞共識協定本身,而是藉由偽造的稽核鏈,繞過信任前提。
讓人不安的是,WireTap 的實作門檻與成本都不高。此篇文章指出,整套設備成本低於 1,000 美元,材料以市售零件與基本電工工具即可取得,亦不需實驗室等級環境,顯示在具有物理近端存取的情境下,攻擊在實務上具可行性。受影響處理器範圍則以第 3 代Intel Xeon Scalable 為主;較早期的 Core 與 Xeon-E 因採用不同記憶體加密引擎而不受影響,Xeon-D 尚未定論;而第 4、5 代 Xeon 若搭配 DDR5 則不在此研究範圍內。
關於偵測與回溯,作者強調一大難題:一旦攻擊成功,偽造的 SGX 稽核報告在事後幾乎無法與合法報告區分,幾乎無跡可循。研究團隊目前也未在野外觀察到此攻擊被實際利用的跡象,但示範顯示一旦攻擊者具備物理近端通路,風險便不可忽視。
Intel 對此的回應(如此篇文章所述)主張:WireTap 和同期的 Battering RAM 研究都假設攻擊者能以匯流排插接取得物理近端存取(bus tapping),這已超出 AES-XTS 式記憶體加密的防護邊界;因此 Intel 不打算為此指派 CVE。Intel 建議在支援的處理器上啟用 Intel TME-MK(Total Memory Encryption – Multi-Key),其提供加密完整性保護以抵禦部分 alias-based 類型攻擊;TME-MK 已在第 5 代 Xeon(Emerald Rapids)與部分 Xeon 6 P-cores(Granite Rapids)上提供。同時,Intel 也提醒驗證端(verifier)在採信稽核報告時需理解平台的實體防護屬性,並以平台憑證來證實被驗證硬體的物理控制情形。
那麼讀者/系統管理者該怎麼做?文章整理了可行的實務建議與防護觀點,分成三大面向:
- 立刻可做(營運/資安控制)
- 強化實體安全:確保資料中心與伺服器機櫃的物理管控(門禁、上鎖機櫃、密封防竊標籤/tamper-evident seals、CCTV、受控人員出入紀錄),減少任何形式的近端匯流排接觸機會。
- 主機供應鏈與託管審查:避免未授權的現場維護或第三方機房人員接觸敏感主機;對代管/租用伺服器採更嚴格 SLA 與稽核。
- 迅速升級與啟用可用硬體保護:若平台支援 TME-MK 或記憶體加密含完整性保護,盡速啟用並測試。
- 強化遠端稽核流程:不要僅依賴「簽章驗證」作為唯一標準,要求更豐富的驗證材料(例如平台憑證、硬體型號與固件指紋、物理保護層級等),在驗證策略中加入對平台實體保護聲明的檢查。
- 最小權限與分散敏感操作:限制 SGX Quoting Enclave 金鑰的使用範圍、減少在可被外界觸及的流程中使用關鍵金鑰,並定期輪換與審計。
- 架構與設計面(系統/應用)
- 多層信任(defense-in-depth):對關鍵程序不單依賴單一 TEE 與單一路徑的稽核,採用多方檢驗(例如多廠牌 TEE、異構證明、多方門檻簽章/threshold signing)來降低單一偽造的影響。
- 限制可觀察序列化輸出:避免把敏感執行序列或反序列化輸出原樣回傳到可被外界觀察的通道(例如 HTTP API 回應、日誌或 debug 訊息)。
- 強化稽核內容的語意驗證:除了檢查簽章,還應對 Quote 中的測量值(measurements)與配置做一致性/合理性檢查,並將 Quote 與當前期望狀態綁定(challenge-response,含隨機 nonce 與時間戳)。
- 採用不同的金鑰管理方案:將重要金鑰放在硬體安全模組(HSM)或採門檻式金鑰管理,降低單一私鑰被恢復即造成完全妥協的風險。
- 策略與政策面(治理/供應鏈)
- 風險評估納入物理攻擊面:在設計可信度模型與上鏈授權時,應把硬體的實體保護屬性(physical tamper resistance)列為重要指標。
- 與雲端/託管供應商簽訂更嚴格的實體保護條款,並定期執行第三方驗證。
- 若業務高度依賴遠端稽核(如機密區塊鏈節點、機密計算平台),考慮引入能辨識平台物理屬性的多重驗證機制,或在關鍵作業採用離線簽章、多方共治等設計。
最後,本文提醒讀者兩個重要結論:一、WireTap 類的攻擊在 物理近端存取 可行時確有現實威脅,且因成本低、易取得器材,對於具物理存取機會的攻擊者而言具吸引力;二、雖然目前尚未見大規模野外濫用報告,但這個研究已把一條被忽視的路徑放大呈現——當稽核機制的信任前提(physical protection)未被妥善宣告或驗證時,攻擊者就可能在不改變共識協定的情況下,透過偽造的稽核鏈路取得不當權限。
如果要以雜誌專欄的方式收尾:「當硬體被視為匿跡的黑盒,信任的架構便在黑盒外層搭建;WireTap 告訴我們,若連黑盒外層的物理邊界也能被繞過,整個信任塔便有崩塌的危險。面對這類威脅,企業不僅要打軟體與演算法的補丁,更該從物理、設計到治理三面同步升級信任機制。」
