Dzięki współlokalizacji sprzętu, łamanie TEE zdarza się często, ale to podejście przenosi to na wyższy poziom, pozwalając na wygenerowanie fałszywego raportu atestacyjnego, który weryfikuje na najwyższym poziomie zaufania Intela, wykorzystując klucze wyodrębnione z produkcyjnego sprzętu przy zestawie kosztującym około 1000 dolarów. Oto szczegóły, które mają również wpływ na bezpieczne wnioskowanie LLM: Atak działa poprzez wykorzystanie deterministycznego szyfrowania w Intel TDX/SGX i AMD SEV-SNP. Gdy ten sam tekst jawny jest szyfrowany dwukrotnie pod tym samym adresem fizycznym, produkuje identyczny tekst szyfrowany. Obserwując ruch pamięci DDR5 przez fizyczny interposer, atakujący może porównać zaszyfrowane wartości i odtworzyć sekrety bez konieczności ich odszyfrowania. Co czyni to szczególnie niszczycielskim, to fakt, że wyodrębnili specyficzny dla urządzenia PCK używany przez PCE do certyfikacji kluczy QE. Dzięki temu kluczowi można fałszować zarówno atestacje SGX, jak i TDX. Fałszywe cytaty weryfikują nawet wtedy, gdy TDX nie jest obecny. Praktyczne implikacje są poważne. Zademonstrowali wyodrębnienie kluczy portfela Ethereum BuilderNet oraz kluczy do odszyfrowania przepływu zamówień (miliony w MEV na szali), nasiona konsensusu Secret Network (odszyfrowuje wszystkie poufne transakcje) i pokazali, jak "pożyczyć" atestacje GPU Nvidii, aby sfałszować poufne obciążenia AI. Koszt zestawu atakującego wynosi poniżej 1000 dolarów w komponentach dostępnych w sprzedaży i mieści się w teczce o wymiarach 17 cali. Nie jest wymagany drogi sprzęt laboratoryjny. Teczka nie musi być nawet otwarta podczas ataku i zawiera uchwyt na kawę. Żarty na bok, to jest naprawdę praktyczne dla infiltracji centrów danych. Istnieją środki zaradcze, ale są ograniczone i kosztowne. Intel i AMD obie firmy uznają fizyczną interpozycję za poza zakresem swoich modeli zagrożeń. Jedyną obroną jest bezpieczeństwo fizyczne: kamery, kontrole dostępu i zaufanie, że twój dostawca chmury nie jest skompromitowany. Dla usług polegających na atestacji TEE, musisz głęboko zrozumieć, gdzie tak naprawdę znajduje się twój zaufany sprzęt.