. . .

Secret Network naprawia poważny problemem

Rafał avatar
Rafał   2022-11-30 16:21

Najnowszy raport dotyczący problemów z bezpieczeństwem technologii SGX, która jest wbudowana w procesory Intel, ukazał spory problem Secret Network, który w dużej mierze polega na tym właśnie rozwiązaniu. Problem naprawiono już na początku listopada, jednak sprawa wyszła na jaw dopiero teraz, wraz z raportem.

Secret klucz

Secret Network, to projekt ekosystemu Cosmos, który zapewnia użytkownikom prywatność dzięki wykorzystaniu technologii TEE bazując na Intel SGX.

Intel Software Guard Extensions (SGX) to technologia zabezpieczeń wbudowana w procesory Intel, która pomaga chronić dane dzięki obietnicy odizolowanego środowiska wykonawczego, które chroni przed innym oprogramowaniem działającym na komputerze.

Niestety od dłuższego czasu rozwiązanie od Intel spotyka się z krytyką, aż w końcu niezależna grupa badaczy zdecydowała się obnażyć problemy SGX wykorzystując do tego między innymi Secret Network.

Jaki błąd odnaleziono?

Jak możemy wyczytać w raporcie, Secret Network było podatne na luki xAPIC i MMIO, które zostały ujawnione publicznie 9 sierpnia 2022 r. Mogły one zostać wykorzystane do wyodrębnienia głównego klucza deszyfrującego dla prywatnych transakcji w tajnej sieci.

Co to oznacza? Ujawnienie tego klucza oznaczałoby możliwość deszyfracji wszystkich prywatnych transakcji jakie miały miejsce na Secret Network od początku działania sieci!

Co istotne i warte dodania oprócz ujawnienia danych transakcji, które jawne być nie powinny, sieci nie groziło żadne inne niebezpieczeństwo. W razie wykorzystania tych luk w zabezpieczeniach użytkownicy po prostu zostaliby pozbawieni obiecywanej przez Secret Network prywatności, a historia sieci stałaby się całkowicie jawna. 

Jak napisano na blogu projektu SCRT, dzięki współpracy z badaczami udało się załatać luki i nie stwierdzono żadnej niepożądanej aktywności, choć jak możemy wyczytać w podsumowaniu raportu, nie ma sposobu, aby bez wątpliwości stwierdzić, czy ten atak był już wcześniej podejmowany. 

Decyzja o krótkim opóźnieniu tego publicznego raportu została uzgodniona w porozumieniu z innymi zaangażowanymi stronami. Zrobiono to, aby jak najlepiej zapewnić, że luka nie będzie wykorzystana, a także aby zapewnić najlepszą ochronę użytkowników i ich danych.

Swój komunikat na Twitterze opublikował także Guy Zyskind, założyciel Secret Network, który potwierdził, że środki użytkowników nigdy nie były zagrożone, gdyż Secret Network polega na SGX tylko w sprawach prywatności. 

W swoim wpisie odniósł się także do przyszłości sieci i tego gdzie zmierzają z aktualizacjami związanymi z Secret 2.0:

Dodał także, że "TEE są pierwszą fazą i chociaż mają swój udział w ogólnym rozwiązaniu, nie są celem końcowym."

Co dalej?

Na blogu podano dalsze i natychmiastowe kroki, którymi są:

  • Nowe węzły dołączające do sieci będą ograniczone tylko do sprzętu klasy serwerowej
  • SCRT Labs będzie bardziej koncentrować się na rozwoju funkcji zorientowanych na bezpieczeństwo sieci. Umożliwi to jeszcze szybsze radzenie sobie z podobnymi przyszłymi lukami w zabezpieczeniach, a samym węzłom zapewni narzędzia do samokontroli. Zmiany te ograniczą również zależność Secret od wszelkich usług zewnętrznych.
  • SCRT Labs zintensyfikuje komunikację z firmą Intel, aby upewnić się, że interesariusze sieci otrzymają wczesne ostrzeżenie o wszelkich przyszłych nieujawnionych lukach w zabezpieczeniach.

Kryptowaluty takie jak właśnie Secret Network, które starają się robić coś innego niż reszta, są nadal w fazie eksperymentalnej i warto o tym pamiętać. 

Popularne