Forscher des Georgia Institute of Technology und der Purdue University haben mit TEE.Fail eine praktische Angriffsmethode vorgestellt, die Trusted Execution Environments (TEE) auf modernen Serverplattformen mit DDR5-Speicher gefährdet. Die Arbeit zeigt, dass sich unter realistischen Rahmenbedingungen Kryptoschlüssel extrahieren und Attestierungen fälschen lassen – betroffen sind insbesondere Intel SGX/TDX sowie AMD SEV‑SNP.
Was TEE.Fail ausnutzt: deterministische Verschlüsselung ohne Integritätsschutz
TEE isolieren Code und Geheimnisse vor Betriebssystem und Hypervisor. Mit der Servermigration zu DDR5 entfällt jedoch in vielen Konfigurationen ein integrierter Integritäts- und Replay-Schutz auf Speicherebene. Stattdessen kommt meist nur AES‑XTS zum Einsatz, ein Modus, der zwar Vertraulichkeit bietet, aber keine inhärente Integritätsprüfung enthält (vgl. NIST SP 800‑38E). TEE.Fail zeigt, dass diese Designentscheidung – Performance und Kosten zuliebe – Angriffsflächen für Bus‑Abgriff und Musteranalyse eröffnet.
Angriffsprinzip: Speicherbus-Abgriff und Korrelation von Chiffretexten
Interposer auf DDR5 und passives Mitlesen
Das Team setzte einen DDR5‑Interposer zwischen Mainboard und DIMM ein, um den Datenverkehr auf der Speicherbus‑Leitung passiv zu erfassen. Mit einem Logikanalysator konnten verschlüsselte Speicherblöcke gelesen werden, die von SGX/TDX‑Enklaven oder von VMs unter SEV‑SNP geschrieben bzw. gelesen wurden. Der Ansatz erfordert physischen Zugriff, ist aber kostengünstig und praxisnah.
Adressgebundener Determinismus von AES‑XTS
Unter kontrollierten Bedingungen (Root‑Rechte zur Telemetrie und Adresszuordnung) wurde das wiederholte Schreiben desselben Speicherorts erzwungen. Die Forscher beobachteten, dass AES‑XTS pro Adresse deterministisch ist: identische Adressen führen zu identischen Chiffretexten. Daraus lässt sich ein „Wörterbuch der Chiffretexte“ aufbauen, das Korrelationen zu sensiblen Klartexten ermöglicht – ein Effekt, der ohne Integritäts- und Replay‑Schutz nicht abgefangen wird.
Auswirkungen: Schlüssellecks und gefälschte Attestierungen
Basierend auf rekonstruierten Parametern (inklusive Nonce) und öffentlich vorliegenden Signaturen konnten die Forscher Signaturschlüssel ableiten und dadurch Attestierungen für SGX und TDX fälschen – ein direkter Angriff auf das Vertrauensfundament von Remote Attestation in Multi‑Tenant‑Umgebungen.
Analog gelang die Extraktion von OpenSSL‑Schlüsseln aus VMs, die durch AMD SEV‑SNP geschützt waren; bemerkenswert ist, dass der Ansatz selbst bei aktivierter Option Ciphertext Hiding funktionierte. In Tests auf Intel‑Xeon‑Systemen wurde zudem ein Provisioning Certificate Key (PCK) gewonnen, der zur Geräteauthentizität beiträgt.
Kontext: Nähe zu WireTap und Battering RAM
TEE.Fail knüpft an frühere Bus‑Abgriffe wie WireTap und Battering RAM an, die auf DDR4 demonstriert wurden. Neu ist die gezielte Anwendung auf DDR5, wo der fehlende Integritäts‑ und Replay‑Schutz die Determinismus‑Effekte von AES‑XTS verstärkt und den Aufbau von Chiffretext‑Wörterbüchern erleichtert.
Bedrohungsmodell, Grenzen und reale Risiken
Für die Ausführung sind physischer Zugriff, ein Interposer sowie in den gezeigten Setups Root‑Privilegien erforderlich. Das erhöht den Aufwand, eliminiert das Risiko aber nicht – insbesondere in Szenarien wie evil‑maid, Insiderbedrohungen, Colocation‑Rechenzentren und Lieferkettenangriffen. Für Organisationen, die auf SGX/TDX oder SEV‑SNP zur Schlüsselsicherung und Remote Attestation bauen, sind Schlüsselkompromittierungen potenziell geschäftskritisch.
Reaktionen der Anbieter und empfohlene Gegenmaßnahmen
Die Forscher informierten Intel im April, Nvidia im Juni und AMD im August. Laut Angaben der Teams arbeiten die Hersteller an Bewertungen und möglichen Mitigations. AMD erklärte in einem Advisory, dass Angriffe mit zwingendem physischen Zugriff außerhalb ihres Standard‑Bedrohungsmodells liegen und daher keine Patches geplant seien. Für die Praxis empfehlen sich: physische Härtung (Zutrittskontrolle, Siegel, Gehäuse‑Sensorik), gemessener/gesicherter Boot und Treiber‑Integrität (Secure/Measured Boot, HVCI), Einschränkung von Debug/DMA, regelmäßige Schlüsselrotation sowie – wo verfügbar – der Einsatz speicherintegritätsprüfender Architekturen. Relevante Referenzen sind u. a. JEDEC DDR5‑Spezifikationen, NIST SP 800‑38E und die Whitepaper zu Intel SGX/TDX und AMD SEV‑SNP.
Die zentrale Lehre lautet: Speicherverschlüsselung allein genügt nicht, wenn Integritäts- und Replay‑Schutz fehlen. Unternehmen sollten ihr Vertrauensmodell für TEE auf DDR5 überprüfen, mit Anbietern die Roadmap für Hardware‑Verstärkungen diskutieren, kritische Workloads unter realistischen Angriffsannahmen testen und die Transparenz von Attestierungsprozessen erhöhen.
