Cache misses and the recovery of the full AES 256 key

Abstract

Las memorias caché incluidas en las CPUs son un elemento de hardware que filtra información significativa sobre el software que se ejecuta en la CPU. En particular, cualquier aplicación que realice secuencias de acceso a la memoria que dependan de información sensible, como las claves privadas, es susceptible de sufrir un ataque de caché, que revelaría esta información. En la mayoría de los casos, los ataques de caché de canal lateral no requieren ningún permiso específico y sólo necesitan acceso a una memoria cache compartido. Este hecho, combinado con la difusión de la computación en nube, en la que la infraestructura se comparte entre diferentes clientes, ha hecho que estos ataques sean bastante populares. Tradicionalmente, los ataques de caché contra AES utilizan la información sobre la víctima para acceder a una dirección. En contraste, mostramos que el uso de la falta de acceso proporciona mucha más información y demostramos que el poder de los ataques de caché ha sido subestimado durante estos últimos años. Este novedoso enfoque es aplicable a los ataques existentes: Prime+Probe, Flush+Reload, Flush+Flush y Prime+Abort. En todos los casos, utilizando los fallos de caché como fuente de información, podríamos recuperar la clave AES de 128 bits con una reducción en el número de muestras de entre el 93% y el 98% en comparación con el enfoque tradicional. Además, este ataque se adaptó y amplió en lo que llamamos el ataque de cache de encriptación por desencriptación (EBD), para obtener una clave AES de 256 bits. En el mejor escenario, nuestro enfoque obtuvo los 256 bits de la clave de la implementación basada en la tabla T de OpenSSL AES utilizando menos de 10.000 muestras, es decir, 135 milisegundos, demostrando que AES-256 es sólo unas tres veces más complejo de atacar que AES-128 mediante ataques de caché. Además, el enfoque propuesto se probó con éxito entre máquinas virtuales.

The CPU cache is a hardware element that leaks significant information about the software running on the CPU. Particularly, any application performing sequences of memory access that depend on sensitive information, such as private keys, is susceptible to suffer a cache attack, which would reveal this information. In most cases, side-channel cache attacks do not require any specific permission and just need access to a shared cache. This fact, combined with the spread of cloud computing, where the infrastructure is shared between different customers, has made these attacks quite popular. Traditionally, cache attacks against AES use the information about the victim to access an address. In contrast, we show that using non-access provides much more information and demonstrate that the power of cache attacks has been underestimated during these last years. This novel approach is applicable to existing attacks: Prime+Probe, Flush+Reload, Flush+Flush and Prime+Abort. In all cases, using cache misses as source of information, we could retrieve the 128-bit AES key with a reduction in the number of samples of between 93% and 98% compared to the traditional approach. Further, this attack was adapted and extended in what we call the encryption-by-decryption cache attack (EBD), to obtain a 256-bit AES key. In the best scenario, our approach obtained the 256 bits of the key of the OpenSSL AES T-table-based implementation using fewer than 10,000 samples, i.e., 135 milliseconds, proving that AES-256 is only about three times more complex to attack than AES-128 via cache attacks. Additionally, the proposed approach was successfully tested in a cross-VM scenario.