Ano ang Kahulugan ng Foreshadow Flaw para sa Kinabukasan ng Cryptocurrency

I-UPDATE (Agosto 16, 19:11 BST): Na-update upang isama ang isang naka-email na pahayag mula sa Cryptocurrency startup Enigma.

Isa pang malagim na depekto sa seguridad ang inihayag noong Martes na may potensyal na ripple effect sa buong mundo ng teknolohiya, kabilang ang para sa mga proyektong Cryptocurrency na naglalayong gamitin ang ilang partikular na hardware device.

Kasunod ng isang pares ng mga bug inihayag sa unang bahagi ng taong ito, ang Foreshadow kahinaan nakakaapekto sa lahat ng Intel's Software Guard Extensions (SGX) enclave, isang espesyal, diumano'y sobrang secure na rehiyon ng chip na kadalasang ginagamit para sa pag-iimbak ng sensitibong data.

Sa madaling sabi, habang ang enclave ay dapat na maging tamper-proof, isang grupo ng mga mananaliksik ang nakahanap ng paraan para nakawin ng isang attacker ang impormasyong iniimbak nito.

Para sa marami, ang Meltdown at Spectre ay sapat na nakakatakot. Naapektuhan ng mga bug ang bawat isang Intel chip, ang hardware na nagpapagana sa karamihan ng mga computer sa mundo. Ngunit, dahil T ito napakadaling isagawa, T maraming pag-atake sa totoong mundo.

Maaaring hindi maganda ang foreshadow dahil nakakaapekto ito sa isang mas partikular na uri ng Intel hardware: SGX. Gayunpaman, dahil maraming proyektong Cryptocurrency ang nagpaplanong gamitin ang Technology ito, ang Foreshadow ay maaaring magkaroon ng mas malala pang epekto para sa mundo ng Cryptocurrency .

Marahil ang pinaka-kapansin-pansin, ang tagalikha ng Signal na si Moxie Marlinspike ay nasa proseso ng pagpapayo ng isang bago, di-umano'y mas berdeng barya na tinatawag na MobileCoin na naglalagay sa SGX sa gitna, kahit na nagtataas ng $30 milyon para magawa ito.

Bilang resulta, ang mga proyektong ito ay kailangang gumawa ng ilang muling pagsasaayos bago ilunsad nang tunay.

"Ang mga natuklasan na inilabas ngayon ay ganap na may malawak na epekto sa mga proyekto ng Cryptocurrency ," sinabi ng mananaliksik ng seguridad ng Cornell University na si Phil Daian sa CoinDesk.

Gayunpaman, ang mabuting balita ay sinundan ng mga mananaliksik ang "responsableng proseso ng Disclosure " ng mundo para sa pagsisiwalat ng mga bug, na inaalerto ang Intel bago ito ipakita upang ang higanteng teknolohiya ay makabuo ng isang pag-aayos (na na-deploy ilang buwan na ang nakakaraan).

Ngunit ang mundo ng seguridad ay gumagawa ng maraming ingay dahil maaaring hindi pa rin iyon sapat.

"Malamang na, dahil marami sa mga system na ito ay mabagal mag-upgrade at dahil marami sa mga pag-aayos na ito ay nangangailangan ng alinman sa kasangkot o pag-upgrade ng hardware, ang imprastraktura ay mananatiling mahina sa ganitong klase ng pag-atake sa loob ng mahabang panahon," sabi ni Daian, idinagdag:

"Ito ay nakakagulat kung sa isang punto ang lasa ng pag-atake na ito ay hindi ginagamit upang magnakaw ng Cryptocurrency."

Ang mabuti at ang masama

Ngunit mayroong parehong mabuti at masamang balita.

Para sa ONE, lumalabas na parang wala pa sa mga high-profile na proyekto ng SGX sa Cryptocurrency ang ginagamit pa para ma-secure ang totoong pera. "Sa aking kaalaman, walang SGX system sa produksyon o malawakang paggamit sa espasyo ngayon," sabi ni Daian.

Ang masamang balita ay mayroong maraming mga proyekto na gusto na gumamit ng SGX, at marahil ay may mga plano na gawin ito sa lalong madaling panahon. At ang mga ideya ay medyo cool.

MobileCoin

ay marahil ang pinakaambisyoso dahil gusto ng mga developer ng proyekto na palitan ang mga minero, isang mahalagang bahagi ng pag-secure ng anumang Cryptocurrency, kasama ang mga enclave na ito upang makabuo ng isang Cryptocurrency na mas matipid sa enerhiya .

Ngunit marami pang iba ang gustong gumamit ng SGX para sa seguridad at Privacy nito.

Ginagamit ito ng Enigma sa isang natatanging bid para mapalakas ang Privacy sa mga smart contract, habang ang kumpanya ng wallet hardware na Ledger ay umabot hanggang sa kasosyo sa tech giant na Intel upang galugarin gamit ang SGX bilang isang bagong paraan para sa pag-iimbak ng mga pribadong key. At ang nagpapatuloy ang listahan.

Nagtalo si Enigma, gayunpaman, na ang epekto ng bug ay sobra na.

"Tulad ng anumang software o hardware, ang Discovery at paglutas ng mga potensyal na kahinaan ay isang normal at inaasahang bahagi ng proseso ng pag-unlad. Sa kasong ito, ang kahinaan ay natugunan na ng Intel at hindi sa anumang paraan ay binabawasan ang potensyal para sa Technology ng SGX," sabi ni Enigma CEO at co-founder na si Guy Zyskind sa isang pahayag.

Idinagdag ni Zyskind na ang "ipinagmamalaki" ni Enigma na makipagtulungan sa Intel at naniniwala na ang kanilang trabaho sa SGX ay mahalaga sa hinaharap ng cryptocurrency, dahil sila ay lumilikha ng "matatag na mga solusyon sa Privacy na sa wakas ay magpapahintulot sa mga desentralisadong aplikasyon na gumana at mapagtibay sa sukat."

Ang mga malalaking benepisyong ito ay hindi pa rin humihinto sa ilang mga mananaliksik na mag-alala tungkol sa epekto nito, bagaman.

"Ang pag-atake ng SGX ay nagwawasak," sinabi ng assistant professor ng Kings College London na si Patrick McCorry sa CoinDesk, at idinagdag na ang mga grupo ng pananaliksik ay matagal nang tinatalakay kung paano ito maaaring i-deploy upang magdagdag ng karagdagang seguridad sa data.

"Posibleng masira nito ang integridad - at Privacy - para sa anumang application na umaasa sa pinagkakatiwalaang hardware. Maraming kumpanya sa Cryptocurrency space ang umaasa sa SGX upang suportahan ang mga multi-party na protocol, ngunit ang pag-atake na ito ay nagpapahintulot sa sinumang kalahok na manloko," dagdag niya.

"Sa Opinyon ko, dapat ipagpalagay ng mahusay na pananaliksik at sistema ng SGX na ang hardware ay maaaring palaging sira sa ilang halaga, at dapat, gaya ng nakasanayan, magdisenyo nang defensive at may kasamang layered na seguridad," sabi ni Daian.

Nagpatuloy siya upang magbigay ng ilang payo sa mga kumpanyang nagpaplanong maglunsad sa lalong madaling panahon.

"Ang mga proyektong nagpaplanong ilunsad sa lalong madaling panahon na umaasa sa SGX ay dapat suriin ang mga kahinaan at anumang mga update mula sa Intel nang may pag-iingat para sa mga implikasyon sa seguridad ng kanilang mga system, at dapat mag-publish ng mga naturang pagsisiyasat kasama ng kanilang code," sabi niya.

Ang iba pang masamang balita, gayunpaman, ay posible para sa mga hacker na makahanap ng bagong variant ng bug, na parehong nakakaapekto sa lahat ng SGX chips.

"Ngunit tulad ng ipinakita ng Foreshadow, ang mga pag-atake ay nagiging mas mahusay," sabi ni McCorry.

Matamis na pagpapatunay

Samantala, ang bug ay nag-iiwan sa ilang mga developer na nakakaramdam ng vindicated.

Dahil ang Intel ay may backdoor sa lahat ng SGX device, matagal na itong kontrobersyal na tech avenue para sa mga proyekto ng Cryptocurrency , kung saan ang mga mahilig ay madalas na pinagtatalunan na ang paggamit ng Technology ay naglalagay ng labis na kapangyarihan o tiwala sa mga kamay ng ONE kumpanya.

Sa madaling salita, sa kanilang isipan, ang Foreshadow vulnerability ay isang magandang halimbawa kung bakit hindi ilagay ang SGX sa pundasyon ng isang proyekto ng Cryptocurrency .

"Buti na lang T kami nagpatibay ng SGX-based Bitcoin scaling solution ng isang propesor!" nagtweet pseudonymous Bitcoin mahilig sa Grubles.

"Kahit na *kung* ito ay naging perpekto, hindi kailanman magandang ideya na i-root ang seguridad ng Bitcoin sa Secret Technology ng sarsa ng isang nagbebenta ng chip," tugon ng tagapagpanatili ng Bitcoin CORE na si Wladimir van der Laan.

Ngunit muli, karamihan sa mga proyektong gumagamit ng SGX T pa talaga nailunsad sa produksyon.

Ang ilang mga mananaliksik ay umabot na sa pagtatalo na karamihan sa mga proyekto ng Cryptocurrency na naggalugad sa SGX ay T aktwal na ginagamit ang mga ito sa totoong pera dahil ang Intel ay may masamang reputasyon. Ang industriya ay nag-eeksperimento sa Technology - ngunit masyadong maingat upang aktwal na ilunsad ito.

Ang ilang mga mananaliksik sa seguridad ay nagpapayo na magpatuloy sa trend na ito - na huwag gumamit ng SGX.

Ngunit ang iba pang mga mananaliksik ay mas maasahin sa mabuti na ang SGX, o isang katulad nito, ay maaaring ONE araw ay magkakaroon ng malaking papel sa Cryptocurrency, na nakikita ang Foreshadow bilang isang positibong senyales na ang pinagkakatiwalaang hardware ay nasusubok sa labanan.

"Kailangan ng SGX na paulit-ulit na masuri at masira ng mga adversarial researcher hanggang sa maangkin nito ang isang malakas na antas ng seguridad, na aabutin ng maraming taon," sabi ni Daian, na idinagdag na naniniwala siya na ang pinagkakatiwalaang hardware sa mga linya ng SGX ay maaaring ONE araw ay gumanap ng isang malaking (at positibo) na papel sa Cryptocurrency.

Sa madaling salita, maaaring tumagal lamang ito ng ilang oras, nakipagtalo siya, at idinagdag:

"Ang pagsasakatuparan ng naturang Technology ay tiyak na may malaking pangako para sa pagliit ng tiwala at scalable na proteksyon sa Privacy sa Cryptocurrency at higit pa."

Laptop sa pamamagitan ng Shutterstock