Software-based Detection and Mitigation of Microarchitectural Attacks on Intel’s x86 Architecture - Ecole Nationale d'Ingénieurs de Brest Accéder directement au contenu
Thèse Année : 2019

Software-based Detection and Mitigation of Microarchitectural Attacks on Intel’s x86 Architecture

Mise en œuvre de mécanismes logiciels pour la détection et la prévention des attaques exploitant la micro-architecture des processeurs Intel x86

Résumé

Access-driven cache-based sidechannel attacks, a sub-category of SCAs, are strong cryptanalysis techniques that break cryptographic algorithms by targeting their implementations. Despite valiant efforts, mitigation techniques against such attacks are not very effective. This is mainly because most mitigation techniques usually protect against any given specific vulnerability and do not take a system-wide approach. Moreover, these solutions either completely remove or greatly reduce the prevailing performance benefits in computing systems that are hard earned over many decades. This thesis presents arguments in favor of enhancing security and privacy in modern computing architectures while retaining the performance benefits. The thesis argues in favor of a need-based protection, which would allow the operating system to apply mitigation only after successful detection of CSCAs. Thus, detection can serve as a first line of defense against such attacks. However, for detection-based protection strategy to be effective, detection needs to be highly accurate, should incur minimum system overhead at run-time, should cover a large set of attacks and should be capable of early stage detection, i.e., before the attack completes. This thesis proposes a complete framework for detection-based protection. At first, the thesis presents a highly accurate, fast and lightweight detection framework to detect a large set of Cache-based SCAs at run-time under variable system load conditions. In the follow up, the thesis demonstrates the use of this detection framework through the proposition of an OS-level run-time detection-based mitigation mechanism for Linux generalpurpose distribution. Though the proposed mitigation mechanism is proposed for Linux general distributions, which is widely used in commodity hardware, the solution is scalable to other operating systems. We provide extensive experiments to validate the proposed detection framework and mitigation mechanism. This thesis demonstrates that security and privacy are system-wide concerns and the mitigation solutions must take a holistic approach.
Les attaques par canaux cachés basées sur les accès aux mémoires caches constituent une sous-catégorie représentant un puissant arsenal permettant de remettre en cause la sécurité d’algorithmes cryptographiques en ciblant leurs implémentations. Malgré de nombreux efforts, les techniques de protection contre ces attaques ne sont pas encore assez matures. Ceci est principalement dû au fait que la plupart des techniques ne protègent généralement pas contre tous les scénarii d’attaques. De plus, ces solutions peuvent impacter fortement les performances des systèmes. Cette thèse propose des arguments en faveur du renforcement de la sécurité et de la confidentialité dans les systèmes informatiques modernes tout en conservant leurs performances. Pour cela, la thèse développe une protection basée sur les besoins, qui permettent au système d’exploitation d’appliquer uniquement des mesures de protection après la détection des attaques. Ainsi, la détection peut servir de première ligne de défense. Cependant, pour que la stratégie de protection basée sur la détection soit efficace, il faut que cette dernière soit fiable, n’impacte que faiblement les performances et couvre un large spectre d’attaques avant que ces dernières atteignent leur but. Dans cette optique, cette thèse propose un cadre complet pour la protection basée sur la détection d’un ensemble d’attaques exploitant les mémoires caches lors de l’exécution sous des conditions de charge variables du système. De plus, la thèse propose de coupler l’utilisation du principe de détection avec un mécanisme de protection intégré au système d’exploitation Linux. Bien que le mécanisme de protection proposé soit appliqué à Linux, la solution est extensible à d’autres systèmes d’exploitation. Cette thèse démontre que la sécurité et la confidentialité doivent être pris en compte au niveau système et que les solutions de protection doivent adopter une approche holistique.

Domaines

Informatique [cs]
Fichier principal
Vignette du fichier
MushtaqM_these_remaniee.pdf (7.03 Mo) Télécharger le fichier
Origine : Fichiers produits par l'(les) auteur(s)

Karim Belghit  : Connectez-vous pour contacter le contributeur

https://ubs.hal.science/tel-03105715

Soumis le : lundi 11 janvier 2021-11:41:28

Dernière modification le : mercredi 7 février 2024-08:56:37

Archivage à long terme le : lundi 12 avril 2021-18:48:57

Télécharger pour visualiser

Dates et versions

tel-03105715 , version 1 (11-01-2021)

Identifiants

  • HAL Id : tel-03105715 , version 1

Citer

Maria Mushtaq. Software-based Detection and Mitigation of Microarchitectural Attacks on Intel’s x86 Architecture. Computer Science [cs]. Université de Bretagne Sud, 2019. English. ⟨NNT : ⟩. ⟨tel-03105715⟩

Exporter

BibTeX XML-TEI Dublin Core DC Terms EndNote DataCite

Collections

UNIV-BREST INSTITUT-TELECOM CNRS LAB-STICC_UBO ENIB LAB-STICC
73 Consultations
5 Téléchargements

Partager

Gmail Facebook X LinkedIn More