인텔 모든 칩셋 키 추출해 암호화 무력화
[데이터넷] 인텔칩 설계 결함으로 인한 취약점이 잇달아 발견되고 있다. 포지티브테크놀로지가 ‘인텔 x86 루트 오브 트러스트: 신뢰 상실(Intel x86 Root of Trust: loss of trust)’이라는 제목으로 발표한 보고서에 따르면 인텔 CSME(Converged Security and Management Engine) ROM에서 하드코딩된 펌웨어 오류를 수정하지 못하는 취약점이 존재하며, 플랫폼에 대한 전체 신뢰 체인을 무력화한다.
CSME는 최신 플랫폼의 다른 모든 펌웨어를 확인해 인텔 기반 시스템의 초기 인증을 수행한다. CPU 마이크로 코드와 상호 작용해 BootGuard를 사용, UEFI BIOS 펌웨어를 인증한다. 또한 칩셋 구성 요소에 전원 공급을 담당하는 전원 관리 컨트롤러의 펌웨어를 로드하고 확인한다.
더불어 DRM, fTPM, 신원 보호 등 하드웨어 보안 기술 암호화 기반을 제공하는 EPID(Enhanced Privacy ID)를 구현한다. EPID는 신뢰할 수있는 시스템을 원격으로 증명하는 절차로, 개별 컴퓨터를 명확하고 익명으로 식별 할 수 있으며 디지털 콘텐츠 보호, 금융 거래 보안 및 IoT 증명 수행 등 여러 용도로 사용된다. 인텔 CSME 펌웨어는 또한 TPM 소프트웨어 모듈을 구현해 추가 TPM 칩 없이도 암호화 키를 저장할 수 있게 한다.
인텔은 CSME 펌웨어 모듈에서 임의의 코드를 실행하더라도 루트 암호화 키(칩셋 키)가 유출되지 않도록 설계하는 한편, 침해사고 시 보안 버전 번호(SVN) 메커니즘을 통해 암호화 키를 변경해 추가 위협이 발생하는 것을 차단한다.
이 처럼 강력한 하드웨어 기반 보안 대책을 마련했음에도 부트 ROM 취약점은 여전히 남아있었다. 이 취약점은 칩셋 키 읽기와 다른 모든 암호화 키 생성을 제어 할 수 있다. 이 키 중 하나는 ICVB(Integrity Control Value Blob)는 공격자가 진위 검사에서 감지 할 수 없는 방식으로 모든 CSME 펌웨어 모듈의 코드를 위조 할 수 있다. CSME 펌웨어 디지털 서명의 개인 키 위반과 동일하지만 특정 플랫폼으로 제한할 수 있다.
EPID 칩셋 키는 플랫폼 내부의 OTP 메모리에 저장돼 암호화되어 있어 당장 심각한 문제를 일으키지는 않는다. EPID를 완전히 손상 시키려면 해커는 SKS(Secure Key Storage)의 칩셋 키를 암호화하는 데 사용되는 하드웨어 키를 추출해야하며, 키는 플랫폼마다 달라 공격이 쉬운 편은 아니다.
그러나 ROM 취약성으로 인해 SKS 하드웨어 키 생성 메커니즘이 잠기기 전에 ROM의 코드 실행을 제어 할 수 있고 ROM 취약성을 수정할 수 없어 이 키를 추출하는 것이 불가능하지 않다. 보고서에서는 이 취약점이 현실화되면 하드웨어 ID가 위조되고 디지털 콘텐츠가 추출되며 암호화 된 하드 디스크의 데이터가 해독된다고 경고했다.
포지티브테크놀로지가 발견한 이 취약점은 10세대 아이스포인트를 포함한 모든 인텔 칩셋과 SoC의 CSME 부트 ROM에 영향을 추며, 칩셋 키를 추출하고 하드웨어 키의 일부와 생성 과정을 조작 할 수 있습니다.
한편 인텔은 이 취약점을 악용한 경로를 차단하는 다양한 방법을 적용하고 있다고 밝혔다.
