Що означає недолік Foreshadow для майбутнього Криптовалюта

ОНОВЛЕННЯ (16 серпня 19:11 BST): Оновлено, щоб включити виписку, надіслану електронною поштою від Криптовалюта стартапу Enigma.

У вівторок було виявлено ще одну жахливу помилку в безпеці, яка може негативно вплинути на технологічний світ, зокрема для Криптовалюта проектів, спрямованих на використання певних апаратних пристроїв.

Слідом за парою помилок представлений на початку цього року, Передвіщати вразливість впливає на всі анклави Intel Software Guard Extensions (SGX), спеціальні, нібито надзвичайно захищені області чіпа, які часто використовуються для зберігання конфіденційних даних.

Коротше кажучи, незважаючи на те, що анклав має бути захищеним від втручання, група дослідників знайшла спосіб, як зловмисник може викрасти інформацію, яка в ньому зберігається.

Для багатьох Meltdown і Spectre були досить моторошними. Помилки вплинули на кожен окремий чіп Intel, апаратне забезпечення більшості комп’ютерів у світі. Але оскільки це було T так просто виконати, атак у реальному світі було T так багато.

Foreshadow може здатися не таким поганим, оскільки він впливає на більш специфічний тип апаратного забезпечення Intel: SGX. Однак, оскільки багато Криптовалюта проектів планують використовувати цю Технології, Foreshadow може мати ще гірші наслідки для світу Криптовалюта .

Можливо, найбільш помітним є те, що творець Signal Моксі Марлінспайк зараз консультує нову, нібито більш екологічну монету під назвою MobileCoin, яка ставить SGX у центр, навіть зібравши для цього 30 мільйонів доларів.

У результаті цим проектам доведеться провести певну реструктуризацію, перш ніж запустити їх по-справжньому.

«Опубліковані сьогодні висновки мають великий вплив на Криптовалюта проекти», — сказав CoinDesk дослідник безпеки Корнельського університету Філ Даян.

Хороша новина полягає в тому, що дослідники дотримувались «процесу відповідального Повідомлення » у світі безпеки для виявлення помилок, попереджаючи Intel, перш ніж демонструвати їх, щоб технічний гігант міг знайти виправлення (яке було впроваджено кілька місяців тому).

Але світ безпеки створює багато шуму, тому що цього може бути недостатньо.

«Цілком імовірно, що через те, що багато з цих систем оновлюються повільно, і оскільки багато з цих виправлень потребують або залучених, або апаратних оновлень, інфраструктура залишатиметься вразливою до цього класу атак протягом тривалого часу», — сказав Даян, додавши:

«Було б дивно, якби в якийсь момент цей вид атаки не використовувався для крадіжки Криптовалюта».

Хороші і погані

Але є як хороші, так і погані новини.

По ONE, здається, що жоден із гучних проектів SGX у Криптовалюта ще не використовується для забезпечення реальних грошей. «Наскільки мені відомо, сьогодні немає жодної системи SGX у виробництві або широкого використання в космосі», — сказав Даян.

Погана новина полягає в тому, що таких проектів багато хочуть використовувати SGX і, можливо, навіть планує це зробити незабаром. І ідеї дуже круті.

MobileCoin

є, мабуть, найбільш амбітним, оскільки розробники проекту хочуть замінити майнери, важливу частину безпеки будь-якої Криптовалюта, цими анклавами, щоб створити більш енергоефективну Криптовалюта.

Але є багато інших, які хочуть використовувати SGX для підвищення безпеки та Політика конфіденційності .

Enigma використовує його в унікальній пропозиції для підвищення Політика конфіденційності в розумних контрактах, тоді як компанія Ledger, що займається виготовленням гаманців, зайшла так далеко співпрацює з технологічним гігантом Intel вивчити використання SGX як нового способу зберігання приватних ключів. І список можна продовжувати і продовжувати.

Однак Enigma стверджувала, що вплив помилки був надмірним.

«Як і будь-яке програмне або апаратне забезпечення, Цікаве та усунення потенційних уразливостей є нормальною та очікуваною частиною процесу розробки. У цьому випадку вразливість уже була усунена Intel, і це жодним чином не зменшує потенціал Технології SGX», — заявив генеральний директор і співзасновник Enigma Гай Зіскінд.

Зіскінд додав, що Enigma «пишається» співпрацею з Intel і вірить, що їхня робота з SGX має вирішальне значення для майбутнього криптовалюти, оскільки вони створюють «надійні рішення Політика конфіденційності , які нарешті дозволять децентралізованим програмам працювати та застосовуватися в масштабах».

Однак ці величезні переваги все ще не заважають деяким дослідникам турбуватися про його вплив.

«Атака SGX є нищівною», — сказав CoinDesk доцент лондонського королівського коледжу Патрік Маккоррі, додавши, що дослідницькі групи вже давно обговорюють, як її можна розгорнути для додаткового захисту даних.

«Це потенційно може підірвати цілісність — і Політика конфіденційності — будь-якої програми, яка залежить від надійного обладнання. Багато компаній у сфері Криптовалюта покладаються на SGX для підтримки багатосторонніх протоколів, але ця атака дозволяє будь-якому учаснику шахраювати», — додав він.

«На мій Погляди, хороші дослідження та системи SGX повинні припускати, що апаратне забезпечення завжди можна зламати певною ціною, і, як завжди, повинні проектуватись оборонно та включати багаторівневу безпеку», — сказав Даян.

Далі він дав кілька порад компаніям, які планують незабаром розпочати роботу.

«Проекти, які планують запустити найближчим часом і які покладаються на SGX, повинні оцінювати вразливості та будь-які оновлення від Intel з обережністю щодо наслідків для безпеки своїх систем і повинні публікувати такі дослідження разом із своїм кодом», — сказав він.

Інша погана новина полягає в тому, що хакери можуть знайти новий варіант помилки, яка так само впливає на всі мікросхеми SGX.

«Але, як демонструє Foreshadow, атаки тільки покращуються», — зауважив Маккоррі.

Солодке виправдання

Тим часом ця помилка змушує деяких розробників відчувати себе виправданими.

Оскільки Intel має бекдор до всіх пристроїв SGX, це тривалий час було суперечливим технологічним напрямком для Криптовалюта проектів, і ентузіасти часто стверджували, що використання цієї Технології передає надто багато влади чи довіри ONE компанії.

Простіше кажучи, на їхню думку, уразливість Foreshadow є хорошим прикладом того, чому б не поставити SGX наріжним каменем проекту Криптовалюта .

«Добре, що ми T прийняли рішення для масштабування Bitcoin певного професора на основі SGX!» твітнув під псевдонімом Bitcoin -ентузіаст Grubles.

«Хоча навіть *якби* це було якось ідеально, ніколи не було гарною ідеєю вкоренити безпеку Bitcoin в Secret Технології постачальника чіпів», — відповів Володимир ван дер Лаан, супроводжуючий Bitcoin CORE .

Але знову ж таки, більшість проектів, що використовують SGX, фактично T запущені у виробництво.

Деякі дослідники дійшли так далеко, що стверджували, що більшість Криптовалюта проектів, які вивчають SGX, насправді T використовували їх на реальні гроші, оскільки Intel має таку погану репутацію. Індустрія експериментує з Технології , але надто обережна, щоб її запустити.

Деякі дослідники безпеки радять продовжувати цю тенденцію – не використовувати SGX.

Але інші дослідники більш оптимістичні, що SGX або щось на зразок цього може ONE разу зіграти велику роль у Криптовалюта, вважаючи Foreshadow позитивним знаком того, що надійне обладнання проходить бойові випробування.

«SGX потрібно буде неодноразово перевіряти та ламати дослідниками, доки він не зможе претендувати на високий рівень безпеки, на що знадобляться роки», — сказав Даян, додавши далі, що він вважає, що надійне обладнання, подібне до SGX, ONE дня може зіграти велику (і позитивну) роль у Криптовалюта.

Коротше кажучи, це може зайняти деякий час, стверджував він, додаючи:

«Реалізація такої Технології , безумовно, має великі перспективи для мінімізації довіри та масштабованого захисту Політика конфіденційності в Криптовалюта та за її межами».

Ноутбук через Shutterstock