С аппаратной колокацией, взломы TEE происходят как грибы после дождя, но этот случай поднимает планку и позволяет вам создать поддельный отчет об аттестации, который подтверждает наивысший уровень доверия Intel, используя ключи, извлеченные из производственного оборудования с настройкой примерно за $1k. Вот подробности, и это также влияет на безопасный вывод LLM: Атака работает, используя детерминированное шифрование в Intel TDX/SGX и AMD SEV-SNP. Когда один и тот же открытый текст шифруется дважды по одному и тому же физическому адресу, он производит идентичный шифротекст. Наблюдая за трафиком памяти DDR5 через физический интерпозитор, злоумышленник может сравнивать зашифрованные значения и восстанавливать секреты, никогда не расшифровывая ничего. Что делает это особенно разрушительным, так это то, что они извлекли специфический для устройства PCK, используемый PCE для сертификации ключей QE. С этим ключом вы можете подделать как SGX, так и TDX аттестации. Поддельные цитаты подтверждаются даже в отсутствие TDX. Практические последствия серьезны. Они продемонстрировали извлечение ключей кошелька Ethereum BuilderNet и ключей расшифровки ордеров (миллионы в MEV на кону), консенсусного семени Secret Network (расшифровывает все конфиденциальные транзакции) и показали, как "одолжить" аттестации Nvidia GPU для подделки конфиденциальных AI рабочих нагрузок. Настройка атаки стоит менее $1000 за компоненты с прилавка и помещается в чемодан 17 дюймов. Не требуется дорогое лабораторное оборудование. Чемодан даже не нужно открывать во время атаки и он включает подстаканник для вашего кофе. Шутки в сторону, это действительно практично для вторжения в дата-центр. Существуют меры смягчения, но они ограничены и дороги. Intel и AMD оба считают физическую интерпозицию вне сферы своих моделей угроз. Единственная защита — это физическая безопасность: камеры, контроль доступа и доверие к тому, что ваш облачный провайдер не скомпрометирован. Для услуг, полагающихся на аттестацию TEE, вам нужно глубоко понять, где на самом деле находится ваше доверенное оборудование.