實驗方法

為了展示攻擊者如何透過程序指紋和類別洩漏攻擊來利用英特爾的Trust Domain Extensions，研究人員使用Hardware Performance Counter (HPC) 進行了一系列實驗。以下是他們方法的細分：

1. 實驗設置
   • 目標系統：研究人員使用啟用了 TDX 的 Intel Xeon Sapphire Rapids 系統。
   • 攻擊者(Adversary)：他們認為虛擬機器管理器 (VMM) 本身就是攻擊者，能夠在信任網域 (TD) 之外執行任意程式碼並收集 PMC (Performance Monitoring Counter) 追蹤。
   • Victim TD：TD 設定為允許 PMC 分析但不允許Debug。
   • HPC Monitoring：perf 命令列工具用於監控各種 HPC 指標，例如 CPU 週期、指令、快取未命中和分支指令。
2. 隔離突破演示
   • 核心爭用(Core Contention)：研究人員表明，當 VMM 和 TD 在同一個核心上執行時，資源競爭使得 TD 的計算可以透過 VMM 收集的效能監視器觀察到。
   • 區分空閒 TD 與活動 TD：透過使用 perf 指令，研究人員能夠區分空閒 TD 與正在透過 HPC 進行處理的活動 TD。
   • 側通道洩漏(Side-Channel Leakage)：他們證明，HPC 可用作側通道，從 TD 內部洩漏資訊。
3. 程序指紋辨識
   • 初步區分：研究者首先使用 HPC 指標來區分 TD 內的兩個流程：空閒流程和計算密集型矩陣乘法(Computationally intensive matrix multiplication)。
   • UnixBench Benchmark：他們使用 UnixBench Benchmark套件對 TD 中的多個程序進行了分析，其中包括 dhry2reg、whetstone-double 和 syscall 等各種測試。
   • 資料收集：對於每個Benchmark，TD 都從 VMM 啟動，執行Benchmark，然後使用 perf 指令收集 HPC 資料。
   • 指紋創建：透過分析收集到的 HPC 資料，研究人員為每個基準創建了獨特的指紋，可以透過其分支未命中和 L1-dcache-load-miss 值來區分。例如，由於多個並發 shell instance，shell16 Benchmark具有最高的分支未命中值。
   • CNN 分類器：為了驗證他們的研究結果，研究人員開發了一個Convolutional Neural Network (CNN) 分類器，該分類器可以根據 HPC 數據識別 TD 內部運行的九個基準中的哪一個。該模型實現了較高的分類準確率，證實了透過HPC分析識別過程的能力。
4. 類別洩漏攻擊(Class Leakage Attack)
   • 細粒度分析(Fine-Grained Profiling)：研究人員進一步證明，HPC 可用於對單一流程進行細粒度分析，以推斷 TD 中的機器學習模型正在處理哪一類影像。
   • CNN 模型：他們使用了在 CIFAR-10 和 CIFAR-100 影像分類資料集上訓練的 CNN 模型。
   • 推理監控：在推理操作期間（當模型做出預測時），他們監控來自 VMM 的 HPC 指標。
   • 類別區分：研究人員證明，他們可以透過分析 HPC 有效區分正在推理的不同類別的圖像。 例如，使用 CIFAR-10 資料集，他們可以區分 45 個類對(Class pair)中的 42 個，使用 CIFAR-100，使用分支遺漏值可以區分 4,950 個類別對中的 4,489 個。
   • 側通道漏洞：這些結果突顯了嚴重的側通道漏洞，攻擊者可以透過在 CNN 推理操作期間監視 HPC 來推斷敏感資訊。
5. 主要發現
   • 隔離入侵(Isolation Breach)：研究人員證明，儘管 TDX 具有安全機制，但 VMM 仍可觀察到 TD 內部程序的 HPC，從而破壞了 VMM 和 TD 之間的隔離。
   • 程序指紋辨識：他們表明，HPC 可用於建立在 TD 內運行的不同程序的唯一設定檔。
   • 類別外洩：他們證明，HPC 可以洩露有關 TD 內的機器學習模型正在處理的資料類型的敏感資訊。
   • 漏洞：研究人員發現，VMM 和 TD 位於同一核心上是造成此漏洞的主要原因。

總結

研究人員透過一系列實驗證明，儘管英特爾採用了混淆機制，但 HPC 仍可被利用透過啟用程序指紋和類別洩漏攻擊來危害 TDX 的安全性。這表明，TDX 迫切需要更強大的安全措施來保護虛擬化環境中的敏感資料。

參考資料