HWL News Bot
News
Thread Starter
- Mitglied seit
- 06.03.2017
- Beiträge
- 113.955
... weiterlesen
Follow along with the video below to see how to install our site as a web app on your home screen.
Anmerkung: this_feature_currently_requires_accessing_site_using_safari
Das ist richtig, aber ich denke in der Aussage steckt so auch mit drin, dass Nutzer eines Pentium 2, von denen es nicht mehr viele im Alltagsbetrieb geben wird, sich um die Sicherheitslücke keine Gedanken machen müssen. Stattdessen sind aber alle im Einsatz befindlichen Intel-Prozessoren tatsächlich auch davon betroffen.Naja, die Aussage, das es "alle" Intel-Prozessoren betrifft, stimmt so nicht.
Es betrifft alle Intel-Prozessoren, die eine Taktänderung erlauben.
Alte Prozessoren, wie z.B. ein Pentium 2/3 o.Ä. die nur mit einem festen Takt arbeiten, sind also nicht betroffen.
Folgt man den Link, ist Ryzen 5000 für den Desktop nicht betroffen und Ryzen 4000 und Ryzen 5000 mit Grafikteil schon betroffen!Von der Schwachstelle betroffen sind alle Intel-Prozessoren ("All Intel Processors are affected.") und bei AMD alle Ryzen-Modelle sowie der Athlon X4.
Das ist wie bei vielen anderen, über Jahre an Universitäten erarbeiteten Schwachstellen: Die sind in der Tat nur Theoretisch und in freier Wildbahn nie verfügbar. Keiner würde sich die Mühe machen die Oma von Nebenan damit anzugreifen.Das klingt nach einem sehr theoretischen Szenario.
Man will aus Taktratenschwankungen Rückschlüsse auf einen berechneten Kryptokey ziehen... Ich kann mir durchaus vorstellen, das das klappen könnte, WENN man weiß, das diese CPU oder dieser eine Kern gerade eben einen Kryptokey berechnet hat und zwar NUR das und eigentlich muss man dazu sogar den Algorithmus der den Key berechnet hat mindestens auf ASM Ebene kennen. Da solche System aber idR nicht nur Kryptokeys berechnen und auch immer noch irgendwas anderes nebenbei läuft, kann ich mir nicht vorstellen, das man das so isolieren kann.
Und vorallem will man das ja so wie ich das verstehe, noch nichtmal an dem Verlauf von Taktraten ansich erkennen, sondern aus der resultierenden Berechnungszeit?
Also wenn man weiß, welche CPU rechnet, die nix anderes nebenbei tut und dann rauskommt "das hat jetzt 567us gedauert" will man daraus den Kryptokey abgreifen können? Das heisst, es gäbe eine Zuordnung von jedem einzelnen Kryptokey zu einer bestimmten Berechnungsdauer. Das geht aber vom Verhältnis her schon nicht auf, selbst wenn man jeden einzelnen Takt mitzählt und damit die maximal mögliche zeitliche Auflösung nehmen könnte.
Was im Falle des iPhones tatsächlich nix bringen würde, da das einen separaten Cryptoprozessor hat.Sowas ist spannend um Systeme anzugreifen wo man das Gerät dauerhaft in der Hand hat. Z.B. das konfiszierte iPhone von Staatsfeinden.
Dass man damit tatsächlich cloud Server angreifen könnte würde mich allerdings auch überraschen aus den von Liesel genannten Gründen.
Heisenberg lässt grüßen?Das klingt nach einem sehr theoretischen Szenario.
Man will aus Taktratenschwankungen Rückschlüsse auf einen berechneten Kryptokey ziehen... Ich kann mir durchaus vorstellen, das das klappen könnte, WENN man weiß, das diese CPU oder dieser eine Kern gerade eben einen Kryptokey berechnet hat und zwar NUR das und eigentlich muss man dazu sogar den Algorithmus der den Key berechnet hat mindestens auf ASM Ebene kennen. Da solche System aber idR nicht nur Kryptokeys berechnen und auch immer noch irgendwas anderes nebenbei läuft, kann ich mir nicht vorstellen, das man das so isolieren kann.
Und vorallem will man das ja so wie ich das verstehe, noch nichtmal an dem Verlauf von Taktraten ansich erkennen, sondern aus der resultierenden Berechnungszeit?
Also wenn man weiß, welche CPU rechnet, die nix anderes nebenbei tut und dann rauskommt "das hat jetzt 567us gedauert" will man daraus den Kryptokey abgreifen können? Das heisst, es gäbe eine Zuordnung von jedem einzelnen Kryptokey zu einer bestimmten Berechnungsdauer. Das geht aber vom Verhältnis her schon nicht auf, selbst wenn man jeden einzelnen Takt mitzählt und damit die maximal mögliche zeitliche Auflösung nehmen könnte.
Modern problems require modern solutions.Ja geil, mein eigenhändiges OC festgetackert auf 4gHz ist direkt mal n Patch ja
Gruss Dennis
Dann hast du eine Wahrscheinlichkeit... dafür das ein Kryptokey berechnet wurde? Oder das der Kryptokey zu 10% genau dieser ist. Wissenschaftlich/Mathematisch sicherlich interessant, aber einen konkreten Kryptokey hast du dann immernochnicht.Heisenberg lässt grüßen?
Das würde ich auch so sehen, denn in einer Multithreadumgebung dürfte es schwer sein die Leistungsaufnahme eines Kernes genau diesem einen Vorgang zuzuordnen. Außerdem frage ich mich, wie man aus der Leistungsaufnahme mehr als bestenfalls die Länge des Passwortes ableiten könnte.Das ist wie bei vielen anderen, über Jahre an Universitäten erarbeiteten Schwachstellen: Die sind in der Tat nur Theoretisch und in freier Wildbahn nie verfügbar.
Ja, da geht es um ein System welches nur eine Aufgabe erfüllt und wo gibt es dies noch? Vor allem im Cloud oder generell Serverbereich? Zumal wenn die Services virtualisiert ist, kann man kaum noch einem Thread eine Kern zuordnen, ganz davon abgesehen, dass kaum nur ein SW Thread auf diesem einen Kern laufen wird.Auch wenn die aufgeführten Beispiele doch etwas andere Szenarien sind
bool check_password(const char input[]){
const char correct_password[] = "hunter2";
bool Retval = true;
int i =0;
while (input[i] && correct_password[i]){
if (input[i] != correct_password[i]) {
Retval = false;
}
i++;
}
return Retval;
}
bool check_password(const char input[]){
const char correct_password[] = "hunter2";
bool Retval = true;
int i =0;
while (input[i] && correct_password[i]) {
if (input[i] != correct_password[i]) {
Retval = false;
}
i++;
}
while(input[i]) {
if (input[i] != correct_password[0]) {
Retval = false;
}
i++;
}
return Retval;
}