آیا پسوند امنیتی اینتل ایمن است؟

دو نفر از محققان رمزنگاری، پایان‌نامه‌ی‌ خود را منتشر کرده‌ و در آن اینتل را به این موضوع متهم کرده‌اند که در توسعه‌های محافظت نرم‌افزاری خود SGX تصمیمات نادرستی را اتخاذ کرده است.
ویکتور کاستان و اسرینیواس دیواداس از MIT از روشی که SGX برای به دست آوردن کلیدهای رمزنگاری روی اینترنت استفاده می‌کند، انتقاد کرده‌اند. SGX که در سال ۲۰۱۳ به عنوان قابلیت‌های اضافی به پردازنده اضافه شد به برنامه‌نویسان اجازه می‌دهد تا بسته‌های کد و داده را قفل کنند که در نتیجه‌ی آن به آن‌ها اجازه‌ی دسترسی هم به کد و هم به داده‌ی درون این بسته را می‌دهد.
یک تجزیه و تحلیل طولانی و بسیار دقیق از SGX این ماه توسط انجمن بین‌المللی محققان رمزنگاری منتشر شد و به تشریح مدل گواهی‌نامه‌ی این سامانه پرداخت.
آنچه در اینجا به نظر مشکل‌دار می‌رسد، شکاف جدی میان کارکرد واقعی این مدل و تشریح عمل‌کرد آن توسط شرکت اینتل برای توسعه‌دهندگان است. در اینجا آن چیزی را که اینتل درباره‌ی گواهی‌نامه‌ی آن اعلام کرده است می‌آوریم:‌
بسته با ارائه‌‌دهندگان خدمات تماس برقرار می‌کند تا اطلاعات حساس را به آن بسته ارائه کنند. این سکو یک تأییدیه‌ی امن را فراهم می‌کند که به شناسایی محیط سخت‌افزار و نرم‌افزار محافظت‌شده می‌پردازد.
به این شکل که «تأییدیه‌ی امنی» دریافت می‌شود که توجه جامعه‌ی رمزنگاری را جلب نموده است، چه کسی فکر می‌کرد که این روش ضدحریم خصوصی و ناامن است، زیرا کلیدهای گواهی‌نامه باید توسط اینتل از قبل به دست آمده باشند.
مت گرین به عنوان محقق برجسته‌ی دانشگاه جانز هاپکینز می‌گوید:
«به نظر می‌رسد که اینتل ایده‌ی تأمین کلید امن گواهی‌نامه‌ی SGX را به کار بسته است. اکنون شما باید با اینتل تماس برقرار کنید.»
«من می‌دانم که مسائل مربوط به طراحی در SGX هیجان‌آور نیستند. اما اینتل، به طور مؤثری قابلیت گواهی‌نامه از راه دور را در این سامانه از بین برده است.»
«بدتر از آن این موضوع بدان معناست که اینتل به طور مؤثری به یک پایگاه داده‌ی بزرگ از کلیدهای رمزنگاری در اینترنت تبدیل می‌شود.»
نگرانی گرین به تجزیه و تحلیل فنی و دقیق بخش ۵.۸ از این مقاله برمی‌گردد، شاید این نقل قول (از بخش ۶.۶.۱) به بهترین شکل آن را نشان دهد:
«هنگامی که بسته شروع به فعالیت می‌کند، انتظار می‌رود که در فرآیند تأیید گواهی‌نامه‌ی نرم‌افزار شرکت داشته باشد و در آن خود را از طریق یک کارگزار راه دور اعتبارسنجی کند. برای احراز هویت موفقیت‌آمیز، انتظار می‌رود که کارگزار راه دور برخی از اطلاعات محرمانه را روی یک کانال ارتباطی امن افشاء کند.»
این بخش از مشکل برای ما برجسته است:
کلیدهای ذخیره شده از طریق اینترنت گذر می‌کنند.
مشکل این است که همچنان که تصویر موجود در توییت گرین نشان می‌دهد، اینتل قصد دارد کلید متقارن را هم در تراشه‌ی SGX و هم در کارگزارهای اینتل قرار دهد.
برای استقرار چنین بسته‌ای، نرم‌افزار باید کلید ذخیره‌ی خود را به اینتل ارائه کند، و اگر با پایگاه داده‌ی اینتل منطبق بود، اینتل کلید تأیید را ارائه می‌کند تا به SGX اجازه دهد این بسته را راه‌اندازی کند.
(این کار با استفاده از ترکیبی از کلیدهای گواهی‌نامه‌های تأیید صادرشده از سوی اینتل و یک کلید مهر و موم شده که در پردازنده‌ حک شده و هرگز از آن جدا نمی‌شود، صورت می‌گیرد.)
این مقاله همچنین اشاره می‌کند که SGX اینتل را در مرکز دنیای نرم‌افزار قرار می‌دهد.
«حق امتیازهای SGX در شرایطی افشاء می‌شوند که بسته‌های نرم‌افزاری معرفی‌شده برای راه‌اندازی باید به آن‌ها معرفی شوند تا اطمینان حاصل شود که نویسنده‌ی این بسته‌ها یک رابطه‌ی تجاری با اینتل دارد و سامانه صدور مجوز را راه‌اندازی کرده است.»
آن‌ها می‌نویسند که این کار اینتل را در یک موضع قدرت بسیار بزرگ قرار می‌دهد: «اینتل تقریباً انحصار را در رایانه‌های رومیزی و پردازنده‌های کارگزارها در درست دارد، و به این شکل قادر خواهد بود تا تصمیم بگیرد کدام سازنده‌ی نرم‌افزاری اجازه دارد از SGX استفاده کند و در نتیجه‌ی آن، اینتل خواهد توانست تا در مورد برنده و بازنده‌های بازار نرم‌افزار تصمیم بگیرد.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap